ГОСТ Р 53661—2009
Процессы идентификации угроз, оценки рисков и риска-менеджмента следует применять не толь
кодля условий повседневной эксплуатации средств и процедур, но и в случаях внеплановой их эксплу
атации.
Наряду с учетом рисков обеспечения безопасности и рисков, создаваемыхдействиями собствен
ного персонала, организация должна учитывать риски, возникающие вследствие действий подрядчи
ков и посетителей, а также при пользовании продукцией или услугами, поставляемыми иными
организациями;
ii) процессы
Процессы идентификации угрозбезопасности, оценки рисков и риска-менеджмента должны быть
документально оформлены и включать в себя:
- идентификацию угроз в области обеспечения безопасности и охраны;
- определение рисков с существующими (или предполагаемыми) мерами по их управлению на
местах (принимая во внимание открытость конкретных угроз, вероятность несрабатывания мер по
управлению рисками и серьезность потенциальных последствий возможных повреждений, разруше
ний или нарушений устойчивости деятельности организации);
- определение приемлемости текущих и остаточных рисков;
- идентификацию потребностей в дополнительных мерах риска-менеджмента;
- определение мер риска-менеджмента, достаточных для уменьшения рисков до приемлемого
уровня.
Помимо отмеченного следует учитывать.
- характер, время, область применения и методы осуществления любых форм идентификации
угроз, оценки рисков и риска-менеджмента,
- применимые законодательные и нормативные акты в области обеспечения безопасности и
охраны.
- роли и полномочия персонала, ответственного за реализацию таких процессов,
-уровень компетентности и потребность в подготовке персонала (см. 4.4.2), ответственного за
реализацию таких процессов. (В зависимости от характера и типа осуществляемых процессов органи
зации может потребоваться приобретение сторонних услуг или консультаций),
- информацию, касающуюся обеспечения безопасности и охраны, получаемую от службы охра
ны, входныхданных, анализа идействий по улучшению (такиедействия могут носить предупредитель
ный характер или быть мерами реагирования);
Ш) последующие действия
После реализации процессов идентификации угроз, оценки рисков и риска-менеджмента:
- должно быть четкое свидетельство того, что любые корректирующие или предупреждающие
действия (см. 4.5.2), определенные как необходимые, контролировались на предмет их своевременно го
выполнения. (Эти действия могут потребовать проведения дальнейшей идентификации угроз и
оценки рисков с тем. чтобы отражать возможные изменения в мероприятиях по риску-менеджменту и
для определения остаточных рисков);
- результаты, достигнутые в ходе реализации корректирующих или предупреждающих действий,
должны быть представлены в качестве входных данных для проведения анализа эффективности сис
темы менеджмента безопасности со стороны руководства (см. 4.6), а также для установления новых или
пересмотра текущих целей в области менеджмента безопасности;
- организация должна иметь возможность определять квалификацию персонала, осуществляю
щего деятельность по обеспечению безопасности и охраны, на соответствие компетентности, опреде
ленной в ходе оценки рисков, для установления необходимого риска-менеджмента;
- результаты опыта, получаемого в ходе внедрения и последующей эксплуатации упомянутых
процессов, должны накапливаться и быть использованы для их улучшения.
2) Мероприятия, проводимые после первоначального определения идентификации угроз, оцен
ки рисков и риска-менеджмента (см. 4.6)
Процессы идентификации угроз, оценки рисков и риска-менеджмента должны анализироваться в
определенный период времени, который устанавливается либо политикой в области менеджмента
безопасности, либо руководством организации. Такой анализ может быть частью анализа эффектив
ности системы менеджмента безопасности со стороны руководства (см. 4.6). Время проведения анали за
упомянутых процессов может изменяться в зависимости от:
- характера угроз;
- величины рисков;
- изменений в деятельности организации.
ю