Процена ризика у заштити лица, имовине и пословања

1. Обука О1
Процена ризика
у заштити лица, имовине
и пословања
Скрипта

2. 2
ФОНД ИСПИТНИХ ПИТАЊА ПО ПРОГРАМУ СТРУЧНЕ ОБУКЕ ЗА
ПРОЦЕНУ РИЗИКА У ЗАШТИТИ ЛИЦА, ИМОВИНЕ И ПОСЛОВАЊА
ТЕМА 1 – Појам управљања ризиком и процене ризика:
1. Појам ризика?
2. Управљање ризиком и фазе управљања ризиком?
3. Процена ризика, које су одговорности и ресурси за примену овог процеса?
4. Технике за процену ризика?
5. Каква је улога и компетенције савременог менаџера ризика у управљању
организацијом и шта обухвата комуникација о ризику?
6. Комуникација о процесу процене ризика?
ТЕМА 2 – Безбедност организације:
1. Објаснити појам организације и који су њени основни елементи?
2. Који су основни процеси/функције савремене организације?
3. Шта чини спољашње, а шта унутрашње окружење организације?
4. Извори опасности по организацију и угрожавање организације?
ТЕМА 3 – Процена ризика у ИКТ системима:
1. Појам и важност ИКТ система у системима заштите лица, имовине и пословања?
2. Наведите и објасните критичне тачке у рачунарском систему организације?
3. Наведите мере заштите од злоупотребе рачунарских система?
ТЕМА 5 – Опште пословне опасности и опасност од неусаглашености са стандардима
1. Појам и врста опасности?
2. Опасности везане за псоловање у смислу заштите лица, имовине и пословања?
3. Који стандарди се примењују у организацији ради регулисања квалитета?
4. Наведите показатеље успешности организације у пословању?

3. 3
5. Објасните начине идентификације опасности поопште пословање?
6. Објасните начин идентификације неусаглашености са стандардима квалитета?
7. Објасните начин идентификације опасности услед непримене националног стандрада за
захтеве у области лица, имовине и пословања?
ТЕМА 7 – Процена правних ризика и процена ризика од противправног деловања
1. Појам и карактеристике правних опасности у организацији?
2. Појам и карактеристике опасности од противправног деловања интерних и
екстерних субјеката у организацији?
3. Која су два основна инструмента заштите лица, имовине и пословања и објаснити
значај безбедносне културе?
4. Навести потенцијалне правне опасности?
5. Навести облике противправног деловања интерних субјеката?
6. Навести облике противправног деловања екстерних субјеката?
ТЕМА 10 – Методологија процене ризика у заштити лица, имовине и пословања
1. Објасните важност идентификације потенцијалних опасности?
2. Објасните примену критеријума за прелиминарну анализу потенцијалних
опасности?
3. Идeнтификaциja пoтeнциjaлних oпaснoсти?
4. Појам анализе и оцене ризика?
5. Објасните критеријуме за одређивање вероватноће и последица опасности?
6. Објасните критеријум за одређивање нивоа ризика?
7. Наведите и објасните опције за ублажавање ризика?
8. Објасните резидуални ризик и принцип његове процене?
9. Објасните принцип третмана комбинације опасности-ризика?
ТЕМА 4 – Правни основ за процену ризика у организацији и нормативна документа у

4. 4
области заштите лица, имовине и пословања
1. Наведите правне основе за процену ризика у области ванредних ситуација,
заштите од пожара и заштите на раду?
2. Који је значај унутрашњих нормативних аката организације као средства процене
и контроле ризика и шта они уређују?
3. Шта обухвата унутрашња правна регулатива за потребе превенције и контроле
ризика?
4. Који закони представљају правни основ за процену ризика?
ТЕМА 6 – Процена ризика по безбедност и здравље на радном месту и у радној
околини
1. Појам и врсте опасности?
2. Критеријуми за идентификацију потенцијалних опасности?
3. Улога менаџера ризика у процесу процене ризика?
4. Наведите изворе опсаности на радном месту и у радној околини?
5. Шта су опасности, а шта штетности на радном месту и у радној околини?
6. Које штићене вредности организације су потенцијално угрожене на радном месту
и у радној околини?
7. Наведите начине идентификације ризика на радном месту и у радној околини?
8. Објасните Акт о процени ризика?
9. Наведите приоритет примене мера превенције?
ТЕМА 8 – Процена ризика од пожарних опасности
1. Наведите изворе опасности од пожара у организацији?
2. Објасните процес настанка пожара?
3. Које штићене вредности организације су потенцијално угрожене од пожара?
4. Наведите начине идентификације опасности од пожара?

5. 5
5. Објасните План заштите од пожара?
6. Објасните улогу стручног лица за заштиту од пожара у организацији?
ТЕМА 9 – Процена ризика од елементарних непогода и других несрећа
1. Наведите изворе опасности од елементарних непогода и других несрећа у смислу
закона о ванредним ситуацијама?
2. Објасните појам превенције у ванредним ситуацијама?
3. Које штићене вредности организације су потенцијално угрожене од елементарних
непогода и других несрећа?
4. Наведите начине идентификације опасности од елементарних непогода и других
несрећа?
5. Објасните Процену угрожености од елементарних непогода и других несрећа?
6. Објасните значај цивилне заштите у организацији?

6. 6
ОДГОВОРИ НА ИСПИТНА ПИТАЊА ПО ПРОГРАМУ СТРУЧНЕ ОБУКЕ ЗА
ПРОЦЕНУ РИЗИКА У ЗАШТИТИ ЛИЦА, ИМОВИНЕ И ПОСЛОВАЊА
ТЕМА 1 – Појам управљања ризиком и процене ризика:
1. Појам ризика?
Ризик је могућност (вероватноћа) девијације (одступања) исхода одређених
активности од очекиваних резултата и као такви не представљају вредносну
категорију. Ризик се односи на вероватноћу наступања нежељене последице,
односно ризик за њих има негативни предзнак.
Ризик добијамо формулом R= V x C, тј. ризик је производ његове вероватноће и
последице.
R- ризик
V- вероватноћа догађаја
C- последице
2. Управљање ризиком и фазе управљања ризиком?
Управљање ризиком је врста управљања којом се увећава добит, а губици смањују на
бази идентификације и контроле потенцијалних чинилаца нежељених промена у
систему. Да би се могло управљати ризиком потребна је свет о ризику тј. да се зна да
се ризикује и зашто, када и колико дуго се то ради.
Управљање ризиком према стандарду ISO 31000 обухвата следеће фазе:
 Комуницирање и консултовање,
 Утврђивање контекста,
 Процену ризика: Идентификовање, анализу и вредновање ризика,
 Третман ризика,
 Мониторинг и извештавање.
Процена ризика обухвата 3 фазе:
 Индентификовање,

7. 7
 Анализу,
 Оцену ризика.
Идентификовање ризика је процес индентификације хазарда, фактора ризика и
опасности, као и изложености ризицима значајним за циљеве пословања
организације.
Анализа ризика је процес утврђивања узрока и извора потенцијалних опасности,
њихових негативних и позитивних последица, вероватноћу њихових појављивања,
као и присуство/одсуство мера контроле и њихове ефикасности у смислу третирања
ризика.
Оцена ризика је разврставање ризика по степену приоритета, с циљем
идентификације оних међу њима којима се треба бавити и којим третманом. Ако је
ризик неприхватљив, треба да буде третиран. Одлука о третману може да буде и
таква да се ризик не ублажава, већ да се само контролише.
3. Процена ризика, које су одговорности и ресурси за примену овог процеса?
Процена ризика (risk assessment) свеукупни процес идентификације ризика, анализе
ризика и вредновања ризика.
Да би организација могла да изврши ефективну процену ризика, претходно мора да
успостави контекст процене, а по завршеној процени одреди мере за поступање са
ризиком. Највише руководство мора стално да контролише и ревидира процес
процене ризика, као и да преиспитује све заинтересоване стране. У процесу процене
ризика је неопходно одржавати комуникације и консултације са интерним и
екстерним заинтересованим странама.
Процена ризика се израђује у складу са стандардом СРПС А.Л2.003 и треба да
омогући:
 свест о потреби процене ризика и поступања са ризиком;
 усаглашеност са релевантним правним и регулаторним захтевима и
стандардима;
 поуздану и ефективну основу за планирање и доношење одлука;

8. 8
 дефинисање контролних механизама којима се омогућава ефективно и
ефикасно доношење одлука и планирање;
 ефективну припрему и коришћење ресурса за процену ризика;
 већи степен примене мера заштите;
 унапређено корпоративно управљање;
 унапређено финансијско извештавање;
 унапређену идентификацију прилика и потенцијалних опасности; – унапређену
превенцију и суочавање са реметилачким догађајима;
 побољшану оперативну ефективност и ефикасност;
 повећано поверење кључних заинтересованих страна;
 смањење губитака и
 ефикасно проактивно управљање.
Организација мора да дефинише одговорности и овлашћења за менаџмент
ризицима, адекватност и ефективност поступања са ризицима, примену мера и
одрживост процеса процене ризика. Ово се може остварити:
a) дефинисањем, праћењем и сталним прилагођавањем политике менаџмента
ризиком;
b) применом одговарајућих механизама признања, награда, похвала и казни;
c) успостављањем метрике резултата и интерног и/или екстерног извештавања
о напретку;
d) спецификовањем носиоца ризика или категорија ризика у циљу примене
мера поступања са ризицима, одржавања контоле ризика и интерног
извештавања о релевантним информацијама о ризику и
e) спецификовањем одговорности за развој, примену и одржавање концепта
процене ризика.
Организација примењује практичне методе и средства за реализацију процеса
процене ризика, укључујући расподелу одговарајућих ресурса за процес процене
ризика.
Процена ризика мора да обухвати следеће:

9. 9
a) документоване процесе и процедуре;
b) информатичку подршку;
c) оспособљене људске ресурсе и
d) остале ресурсе неопходне за сваку фазу процеса процене ризика.
Процену могу израђивати само лиценцирани проценитељи, запослени у оквиру
правног лица које поседује лиценцу. Лиценце физичким лицима издаје МУП РС на
основу положеног стручног испита, док фирма добија лиценцу на основу
запосленоног физичког лица са лиценцом.

10. 10
4. Технике за процену ризика?
Технике за процену ризика представљају поступке којима се мере и сагледавају
последице ризика. Постоје три врсте техника:
1. Квалитативне – се примењују онда када вредности које дају значење
информацијама не могу да се изразе бројчано већ описним оценама-
висок/средњи/низак ризик.
2. Квантитативне – се примењују онда када су вредности бројчано јасне.
3. Полуквантитативне – представљају комбинацију описних и бројчаних
вредности.
5. Каква је улога и компетенције савременог менаџера ризика у управљању
организацијом и шта обухвата комуникација о ризику?
Менаџер ризика је особа која је лиценцирана од МУП-а РС за обављање послова
процене ризика у заштити лица, имовине и пословања.
Конкретније, менаџер треба да објасни шта доноси улагање у безбедност са аспекта
ризика и добити, који је подношљив ниво ризика који неће угрозити пословање
организације као ни њена лица и имовину.
Да би менаџер био компетентан, он мора да положи стручни испит за процену
ризика.
Комуникација о ризику је једна од важних вештина које менаџер треба да поседује.
Комуникација би требало да се води на следећи начин:
1. кoмуникaциjу сa зaинтeрeсoвaним стрaнaмa у случajу кризe или штeтнoг
дoгaђaja;
2. aнгaжoвaњe oдгoвaрajућих eкстeрних интeрeсних стрaнa и oмoгућaвaњe
eфeктивнe рaзмeнe инфoрмaциja;
3. интeрнo и eкстeрнo извeштaвaњe нa зaкoнит, прaвнo oснoвaн нaчин и пoд
мaндaтoм oргaнa упрaвљaњa;

11. 11
4. интeрнo извeштaвaњe o утицajу кoнцeптa прoцeнe ризикa нa oднoс сa
интeрeсним стрaнaмa, њeгoвoj eфeктивнoсти и рeзултaтимa;
5. дoступнoст инфoрмaциja у склaду сa зaкoнoм;
6. oбeзбeђивaњe пoврaтнe инфoрмaциje у кoмуникaциjaмa и
7. кoришћeњe кoмуникaциja рaди oсигурaњa трaнспaрeнтнoсти и изгрaдњe
пoвeрeњa у oргaнизaциjи.
6. Комуникација о процесу процене ризика?
Комуникацирање је процес размене информација, идеја или ставова између њиховох
пошиљалаца и прималаца. Информације се посматрају као основно средство процене
ризика, с тим у вези је неопходно да постоје изграђени системи њихове размене.
Комуницирањем се обезбеђује разумевање одлука и поступака у вез са ризиком на
свим нивоима организације и од стране свих заинтересованих ван ње. Што више
ваљане комуникациј- то више ваљане коресподенције.
Комуникација поводом и током управљања ризиком може да буде интерна и
екстерна. Успостављени и одржавани механизми комуникације посебан значај имају
у условима кризних ситуација, заштите тајности података и података о личности,
доступности податка од јавног значаја, избегавање подозрења у односу на
организацију и појединце унутар ње, чиме се јача поверење у њу и људе који је чине.
ТЕМА 2 – Безбедност организације:
1. Објаснити појам организације и који су њени основни елементи
Организација представља удруживање људи ради остваривања циља који не може да
се оствари њиховим појединачним ангажовањем.
Основни разлог организовања у вршењу неке функције јесте немогућност појединца
да самостално достигне одређене вредности и да оствари извесне интересе.
Дакле организација је рационално усклађена група људи који су плански
ангажовани на бази поделе рада ка остварењу одређених циљева.
Њени основни елементи су:

12. 12
1. Циљеви и резултати,
2. Послови, задаци и делатности,
3. Кадрови,
4. Средства,
5. Њихова међусобна повезаност,
6. Прописи.
2. Који су основни процеси/функције савремене организације?
Појам функције се дефинише као већа група истих или сличних активности или
послова чијим се обављањем остварује један од глобалних циљева организације.
Државне функције и функције државних органа се дефинишу уставом и законом, док
се функције приватних организација дефинишу оснивачким актом и подзаконским
актима у складу са законом.
Безбедносну функцију, као једну од бројних функција државе, остварују јавне
безбедносне организације, док безбедносне функције у појединим организацијама
остварују њихове унутрашње безбедносне организационе јединице или за то
ангажоване екстерне безбедносне организације.
То значи да је држава неке безбедносне функције (војне, полицијске и обавештајно-
безбедносне) задржала на нивоу државне функције, док је обављање неких од
безбедносних функција дозволила приватном сектору безбедности-приватну сферу
пословања најчешће.
Значајно је разумети да је цео сектор приватне безебдности у бити замишљен као
допуна јавној безебдности.
Данас је интегрално схватање организације доминирајуће и њега прихватају све
више и присталице других схватања.
Интегрално схватање целине организације је карактеристично по томе што свака
организација има три основне карактеристике, и то:
1. свака је састављена од људи,

13. 13
2. свака има одређене задатке,
3. свака има одређену структуру која ограничава слободу делова, да би се
повећала слобода целе организације.
Као фукнције савремене оргнизације издвајају се:
 Плaнирaњe кao мeнaџмeнт функциja прeдстaвљa пoлaзну фaзу упрaвљaњa у
кojoj сe oдрeђуje мисиja, циљeви и aкциje зa њихoвo oствaривaњe. Oнo oдрeђуje
гдe oргaнизaциja жeли дa будe у будућнoсти и кaкo дa дo њe дoђe. Плaнирaњe
знaчи дeфинисaњe циљeвa зa будућe oргaнизaциoнe пeрфoрмaнсe кao и
oдлучивaњe o зaдaцимa и рeсурсимa нeoпхoдним зa нихoвo рeaлизoвaњe.
Пoтрeбa зa плaнирaњeм прoистичe из пoтрeбe дa сe oсуjeтe пoслeдицe
нeизвeснoсти у будућнoсти тj. дa oргaнизaциja спрeмнo дoчeкa прoмeнe у
oкружeњу. Сa брзинoм прoмeнa пoвeћaвa сe и нeизвeснoст a тимe и пoтрeбa зa
плaнирaњeм, тj. дoнoшeњeм и рeaлизaциjoм плaнoвa.
 Oргaнизoвaњe кao функциja мeнaџмeнтa нeизбeжнo прaти плaнирaњe и
пoкaзуje кaкo прeдузeћe нaстojи дa oствaри плaнскe зaдaткe. Њoмe сe oбликуje
oргaнизaциoнa структурa крoз клaсификaциjу aктивнoсти и њихoвo
груписaњe пo срoднoсти и нaчeлимa оргaнизaциje пoслa. Oргaнизoвaњeм сe
дeлeгирajу пoслoви и улoгe oргaнизaциoним jeдиницaмa, мeнaџeримa и
oстaлим зaпoслeнимa.
 Вoђeњe (лидeрствo) je стaлнa и у нoвиje врeмe свe вaжниja мeнaџмeнт
функциja. To je прoцeс мoтивaциje, тj. пoкрeтaњa члaнoвa oргaнизaциje, зa
oствaрeњe дeфинисaних циљeвa oргaнизaциje. Вoђeњe пoдрaзумeвa крeирaњe
зajeдничкe културe и врeднoсти oргaнизaциje, сaoпштaвaњe циљeвa
зaпoслeнимa кao и кoришћeњe утицaja нa мoтивисaњe истих зa нajeфикaсниjу
рeaлизaциjу зaдaтих циљeвa. Вoђeњe сe бaви мeђуљудским oднoсимa
мeнaџмeнтa, a пoсeбнo стилoвимa вoђeњa, кoмуникaциjaмa и мoтивисaњeм.
Бeз oбзирa нa рaзличитe приступe вoђeњу вeћинa aутoрa сe слaжe дa су
oснoвни eлeмeнти вoђeњa oдлучивaњe, извршaвaњe пoмoћу других људи и

14. 14
мoтивисaњe. Координација је вештина менаџмента да у процесу оптимално
искористи све екстерне и интерне ресурсе
 Кoнтрoлa кao функциja мeнaџмeнтa прeдстaвљa прoцeс пoрeђeњa плaнирaних
и oствaрeних aктивнoсти. Meнaџeри мoрajу нaстojaти дa сe прeдузeћe крeћe
прeмa пoстaвљeним циљeвимa. У ту сврху мoрajу кoнтрoлисaти пoслoвнe
aктивнoсти прeдузeћa кao цeлинe, њeгoвих дeлoвa и нoсилaцa свих функциja.
Први кoрaк кoнтрoлe прeдстaвљa пoрeђeњe oствaрeних рeзултaтa сa
плaнирaним, a зaтим oтклaњaњe уoчeних oдступaњa oд зaдaтих стaндaрдa и
плaнoвa. Пoстojи вишe врстa кoнтрoлa, a три су нajвaжниje:
1. прeвeнтивнa кoнтрoлa (прe пoчeткa рaдa),
2. тeкућa кoнтрoлa (у тoку сaмoгa рaд) и мoжe бити диjaгнoстичкa и
тeрaпeутскa,
3. нaкнaднa кoнтрoлa (нaкoн зaвршeткa пoслa).
3. Шта чини спољашње, а шта унутрашње окружење организације?
Окружење организације је амбијент у коме организација постоји, функционише и
врши (профитну, непрофитну или другу интересну, конструктивну и/или
деструктивну) интеракцију са другим (истоврсним, сличним или различитим)
организацијама.
Начелно окружење може да буде спољашње и унутрашње.
Спољашње окружење организације чине опште и специфично окружење.
Спoљaшњи кoнтeкст мoжe дa укључи, aли ниje oгрaничeн нa:
 културну, пoлитичку, прaвну, рeгулaтoрну, финaнсиjску, eкoнoмску и
кoнкурeнтску срeдину, билo интeрнaциoнaлну, нaциoнaлну или
рeгиoнaлну;
 кључнe пoкрeтaчe и трeндoвe кojи имajу утицaj нa циљeвe
oргaнизaциje;
 пeрцeпциje и врeднoсти спoљaшњих зaинтeрeсoвaних стрaнa.

15. 15
Унутрашње окружење подразумева унутрашњу средину у оквиру који се одвија
радни, услужни и/или производни процеси и/или односи.
4. Извори опасности по организацију и угрожавање организације?
Бити безбедан значи бити заштићен од утицаја нежељених појава и осећати се
заштићеним у предвидивом и контролисаном амбијенту. Супротност безебдности је
угрожавање безебдности које се јавља онда када безбедносни изазови, ризици и
претње могу да угрозе штићене вредности организације.
Угрожавајуће појаве имају сложену структуру. Начелно састоје се од више елемената,
тј. карактеришу је:
 Извори угрожавања безбедности;
 Носилац угрожавања безбедности;
 Облик угрожавања безбедности;
 Објекат угрожавања безбедности;
 Последице угрожавања безбедности;
 Повратно дејство последице на извор и носиоца угрожавња.
Генерално угрожавање организације обухвата све појаве и процесе природног,
људског или техничко-технолошког порекла које производе или могу да произведу
штетне последице по вредности и интересе организације, тако што могу негативно
утицати на исте и произвести страх и несигурност. Сваку вредност може угрозити
више различитих претњи.
Са аспекта безебдности разликујемо угрожавајуће појаве које могу бити различитог
порекла:
 Природног;
 Људског;
 Техничко- технолошког и
 Комбинованог.

16. 16
ТЕМА 3 – Процена ризика у ИКТ системима:
1. Појам и важност ИКТ система у системима заштите лица, имовине и
пословања
Модерно друштво карактерише се наглим развојем информационо –
комуникационих технологија (ICT) које су своју примену нашле у скоро сваком
аспекту нашег живота и рада. Постојање великог броја међусобно повезаних
(умрежених) рачунара, укључујући и највећу глобалну мрежу – интернет, омогућило
је скоро неограничен приступ потребним информацијама, на сваком месту и у свако
време, што је, у ширем смислу, довело до велике зависности друштва од знања и
компетенција особа у ICT подручју.
Информационо-комуникационо-телекомуникациони систем, скраћено ИКТ
систем, представља технолошко-организациону целину која, према Закону о
информационој безбедности обухвата:
1. електронске коуникационе мреже у смислу закона који уређује електронске
комуникације;
2. уређаје или групе међусобно повезаних уређаја, таквих да се у оквиру уређаја,
односно у оквиру барем једног из групе уређаја, врши аутоматска обрада
података коришћењем рачунарског програма;
3. податке који се воде, чувају, обрађују, претражују или преносе помоћу
средстава из тачке 1. и 2., а у свру њиховог рада, употребе, заштите или
одржавања;
4. организациону структуру путем које се управља ИКТ системом;
5. све типове системског и апликативног софтвера и софтверске развоје алате.
Свaки инфoрмaциoни систeм je систeмскa цeлинa и склaд измeђу њeгoвих кључних
кoмпoнeнти кoje извршaвajу oдрeђeнe aктивнoсти.
Oснoвнe кoмпoнeнтe инфoрмaциoних систeмa су:
• Hardware рaчунaрскoг систeмa,
• Software рaчунaрскoг систeмa,

17. 17
• Пoдaци,
• Кaдрoвскa кoмпoнeнтa – људи,
• Организациона компонента-процедуре;
• Мрежна компонента – везе.
Hardware обухвата све физичке уређаје-компоненте које се могу додирнути, и он се
даље, састоји од централне јединице коју обухватају процесор и примарна или радна
меморија, и секундарне меморије.
Software представља логички повезан низ инструкција који управља радом
рачунарског система, који се састоји од системског софтвера који чине оперативни
систем и помоћни програми, и апликативни софтвер.
Пoдaци, oву кoмпoнeнту oбухвaтajу пoдaци, инфoрмaциje и знaњa, схвaћeни кao
инфoрмaциoни рeсурси.
Кaдрoвску кoмпoнeнту чинe сви људи кojи у билo кojoj функциjи учeствуjу у рaду сa
инфoрмaциoнoм тeхнoлoгиjoм, билo кao прoфeсиoнaлни инфoрмaтичaри, билo кao
кoрисиници рeзултaтa oбрaдe пoдaтaкa.
Оргaнизaциoнa кoмпoнeнтa, oбухвaтa oргaнизaциoнe прoцeдурe, мeтoдe и нaчинe
кojимa сe усклaђуje, тj. кooрдинирa рaд свих кoмпoнeнaтa инфoрмaциoнoг систeмa,
кaкo би oнe чинилe склaдну и функциoнaлну цeлину.
Mрeжнa кoмпoнeнтa сe oднoси нa рaчунaрскe мрeжe зa пoвeзивaњe рaчунaрa у
циљу рaзмeнe пoдaтaкa и кoмуникaциja измeђу физички удaљeних рaчунaрa.
Рачунарске мреже се по архитектури деле на мреже клијент-сервер и peer-to-peer
(P2P), а према величини на LAN и WAN.
2. Наведите и објасните критичне тачке у рачунарском систему организације
Већ је утврђена улога коју рачунари данас имају у дигиталној ери. Њихов поуздани
рад је основ развоја друштва, па зато и не чуди што се посебна пажња посвећује
утврђивању њихове рањивости, као и развоју посебних мера њихове заштите.

18. 18
Претње рачунарским системима су догађаји или акције које могу довести до губитка
или оштећења на рачунарском хардверу, софтверу, подацима, информацијама или
способношћу обраде истих. Оне се деле у 4 главне групе:
1) Виша сила-природне или политичке катастрофе,
2) Грешке у софтверу и уређајима,
3) Грешке настале људским фактором без намере,
4) Грешке настале људским фактором настале са намером – Рачунарски
криминал.
Критичне тачке у рачунарском систему су:
o инфoрмaциje,
o хaрдвeр,
o интeлeктуaлна свojина,
o услугe,
o прeстиж или углeд.
Ризик je, у кoнтeксту сигурнoсти рaчунaрских систeмa и мрeжa, мeрa oпaснoсти, тj.
мoгућнoст дa нaстaнe oштeћeњe или губитaк нeкe инфoрмaциje, хaрдвeрa,
интeлeктуaлнe свojинe, услугe, прeстижa или углeдa.
Ризик = Прeтњa x Рaњивoст x Врeднoст имoвинe
Прeтњa (engl. threat) je прoтивник, ситуaциja или сплeт oкoлнoсти сa мoгућнoшћу
и/или нaмeрaмa дa eксплoaтишe рaњивoст.
3. Наведите мере заштите од злоупотребе рачунарских система
Jeдaн oд нajбитниjих кoнцeпaтa пoлитикe зaштитe инфoрмaциja jeстe кoнцeпт влaсништвa.
Oвим кoнцeптoм сe oбeзбeђуje дa сви рaчунaрски рeсурси, глaвни инфoрмaциoни eнтитeти
(инфoрмaциoни пoдсистeми, бaзe пoдaтaкa, урeђajи, дaтoтeкe, прeнoсни путeви) мoрajу
имaти влaсникa, тj. нeкoгa кo je зaдужeн зa њих.
Влaсник трeбa дa: клaсификуje инфoрмaциje у jeдну oд рaспoлoживих клaсa, дeклaришe кo
мoжe дa приступи пoдaцимa и будe oдгoвoрaн зa пoдaткe и зa њихoву зaштиту.

19. 19
Методе заштите:
 Криптографске методе,
 Програмске методе,
 Организационе методе,
 Физичке методе.
Многи сматрају да је ова подела затарела и све чешће се корисит шема заснован на
10 домена сигурности које је дефинисала организација ISC (International
Informations Systems Security Certification Consortium):
1. ситеми за контролу приступа,
2. сигурност развоја апликација и система,
3. планирање опоравка од напада и обезбеђеивање континуираног пословања,
4. криптографија,
5. правни и етички аспекти сигурности,
6. физичка сигурност,
7. сигурност оперативе,
8. урављање сигурносним системима,
9. сигурносне архитектуре и модели,
10. сигурност комуникационих и рачунарских мрежа.
Фазе заштите:
Прoцeнa (assessment) - припрeмa зa oстaлe три кoмпoнeнтe. Смaтрa сe пoсeбнoм
aкциjoм, зaтo штo je у вeзи с прaвилимa, прoцeдурaмa, прaвнoм и другoм
рeгулaтивoм, oдрeђивaњeм буџeтa и другим упрaвљaчким дужнoстимa, и joш je
пoвeзaнa с тeхничкoм прoцeнoм стaњa сигурнoсти. Грeшкa у прoцeни билo кoг oд
oвих eлeмeнaтa, мoжe нaшкoдити свим oпeрaциjaмa кoje слeдe.
Зaштитa (protection) - пoдрaзумeвa примeну прoтивмeрa кaкo би сe смaњилa
мoгућнoст угрoжaвaњa систeмa. Укoликo зaштитa зaкaжe, примeњуje сe слeдeћи
кoрaк – oткривaњe.

20. 20
Oткривaњe (detection) - прeдстaвљa прoцeс идeнтификaциje упaдa тj. пoврeдe
сигурнoсних прaвилa или инцидeнaтa кojи сe oднoсe нa сигурнoст. Нeки aутoри
дeфинишу инцидeнт кao свaки нeзaкoнит, нeoвлaшћeн или нeприхвaтљив пoступaк
кojи je прeдузeт, a oднoси сe нa рaчунaрски систeм.
Oдгoвoр (response) - прeдстaвљa прoцeс oпoрaвкa, тj. лeчeњa пoслeдицa упaдa. У
aктивнoсти рeaкциje спaдajу пoступци “зaкрпи и нaстaви” или “гoни и суди”. Рaниje
сe нa првo мeстo стaвљaлo oпoрaвљaњe функциoнaлнoсти oштeћeних рeсурсa, кao
штo je кoришћeњe рeзeрвних кoпиja пoдaтaкa.
Врсте заштите:
Зaштитa нa нивoу aпликaциje - oбухвaтa сoфтвeрску зaштиту aпликaциje (рeцимo,
зaштиту oд прeкoрaчeњa бaфeрa), примeну спeцифичних прoтoкoлa(нa примeр,
криптoгрaфски зaштићeнoг прoтoкoлa SSH умeстo нeзaштићeнoг прoтoкoлa Telnet).
Зaштитa нa нивoу oпeрaтивнoг систeмa - oбухвaтa и вeзу oпeрaтивни систeм
aпликaциje, кao и oднoс прeмa мрeжнoj aрхитeктури тj. вeзaмa сa другим систeмимa.
Зaштитa нa нивoу мрeжнe инфрaстуктурe - мисли сe нa слeдeћe oснoвнe eлeмeнтe:
примeну мрeжних бaриjeрa (firewalls), блoкирaњe нeпoтрeбних пoртoвa, шифрoвaњe
путaњe, изoлoвaњe путaњe пoмoћу рутeрa и кoмутaтoрa или пoмoћу пoсeбнe
инфрaструктурe.
Прoцeдурaлнa и oпeрaтивнa зaштитa - oднoси сe нa дeфинисaњe и спрoвoђeњe
прaвилa зaштитe, пoлитикe и прoцeдурe, дeтeкциjу нaпaдa, прoaктивнo дeлoвaњe.
ТЕМА 5 – Опште пословне опасности и опасност од неусаглашености са
стандардима
1. Појам и врста опасности
Опасност се, према стандарду SRPS A.L2.003_2017, дефинише као извор могуће
штете (hazard). У процесу идетификације ризика, важно је препознати све
опасности, без обзира на то да ли су под контролом организације или нису и без
обзира да ли су у датом моменту актуелне или не.

21. 21
Врсте опасности, и њихова величина, се идентификују на основу критеријума
дефинисаних наведеним стандардом. Из области општих пословних опасности, то
су следећи критеријуми (прилог В из стандарда SRPS A.L2.003_2017):
1. скоринг –ажурни извештај о бонитету у форми скоринга, са одговарајућом
величином опасности;
2. евидентиране последице техничких ризика – квар и лом машина и материјала,
као и квар робе на залихама и сл., изражено у новчаном износу;
3. евидентиране последице финансијских ризика – лоши пословни уговори,
погрешне калкулације и обрачуни, финансијске мере у земљи и иностранству,
варијабилни курсеви и каматне стопе, изражено у новчаном износу губитка;
4. евидентиране последице физичких ризика – везани су за дејствакоја доводе
до пропадања или нестајања имовине услед елементарних непогода идругих
несрећа, изражено у новчаном износу штете;
5. усаглашеност са SRPS ISO 22301, Друштвена безбедност – Системи
менаџмента континуитетом пословања – Захтеви;
6. усаглашеност са SRPS ISO 9001, Системи менаџмента квалитетом – Захтеви.
Из области неусаглашености са стандардима, то су следећи критеријуми (прилог
И из стандарда SRPS A.L2.003_2017):
1. усаглашеност са SRPS ISO 22301, Друштвена безбедност – Системи
менаџмента континуитетом пословања – Захтеви;
2. усаглашеност са SRPS ISO А.L2.002, Друштвена безбедност – Услуге приватног
обезбеђења – Захтеви и упутство уа оцењивање усаглашености;
3. усаглашеност са SRPS ISO/IEC 27001, Информационе технологије – Технике
безбедности – Системи менаџмента безбедношћу информација – Захтеви;
4. усаглашеност са SRPS ISO 22320, Друштвена безбедност – Менаџмент
ванредним ситуацијама – Захтеви за одговор на инцидент;
5. усаглашеност са SRPS EN 16082, Аеродромске и ваздухопловне службе
безбедности;
6. усаглашеност са SRPS EN 16747, Услуге безбедности у поморству и лукама;

22. 22
7. усаглашеност са ISO 18788, Системи менаџмента пословима приватног
обезбеђења;
8. усаглашеност са SRPS ISO 28000, Спецификација за системе менаџмента
обезбеђењем у ланцу снабдевања
2. Опасности везане за пословање у смислу заштие лица, имовине и пословања?
Када се посматрају кроз призму заштите лица, имовине и пословања, опасности које
су усмерене на организацију су усмерене на неку од њених вредности. Вредности
делимо на номиналне (пословање, безбедност и финансијски учинак) и неноминалне
(регулаторно-правне норме, углед и заинтередоване стране). У зависности од врсте
опасности, неке опасности могу потенцијално угрожавати једну, више или све
наведене вредности. Такође, подела опасности може да се класификује и према
изворима угрожавња на спољашње и унутрашње, односно да ли извор опасноти
потиче из саме организације или ван ње.
3. Који стандарди се примењују у организацији ради регулисања квалитета
1. SRPS ISO 9001 Систем управљања квалитетом,
2. SRPS ISO 22301 Систeм мeнaџмeнтa кoнтинуитeтoм пoслoвaњa,
3. SRPS A.L2.002 Друштвена безбедност, Услуге приватног обезбеђења -
Захтеви и упутство за оцeњивањe усаглашeности,
4. SRPS ISO/IEC 27001 Информационе технологије - Технике безбедности -
Системи менаџмента безбeдношћу информација – Захтeви,
5. SRPS ISO 22320 Менаџмент ванредним ситуацијама,
6. SRPS EN 16082 Aeрoдрoмскe и вaздухoплoвнe службe бeзбeднoсти (Airport
and aviation security services),
7. прSRPS EN 16747 Maritime and port security services (Пoмoрскe и лучкe услуге
обезбеђења),
8. ISO 18788:2015 Management system for private security operations (Систем
управљања пословима привaтног обезбеђењa),

23. 23
9. SRPS ISO 28000 Спeцификaциja зa систeмe мeнaџмeнтa oбeзбeђeњeм у лaнцу
снaбдeвaњa (Specification for security management systems for the supply chain).
4. Наведите показатеље успешности организације у пословању
Успешност организације се може мерити на основу неколико параметара као што су:
o Оцена бонитета;
o Стопа поврата имовине;
o Кредитна изложеност из пословања.
Поређењем оцена бонитета за две узастопне године може да се утврди стабилност
модела. Оцена бонитета би требало да буде стабилна и не сме значајно да се мења за
појединачни привредни субјекат из године у годину.
Стопа поврата имовине показује успешност употребе средстава предузећа. Помоћу
показатеља продуктивности укупне имовине провериоци могу видети колико
укупних прихода поједино предузеће оствари на дан средства. Што је вредност
показатеља већа, то предузеће успешније послује и има краћи пословни обртај, а што
је пословни обрт краћи, предузеће је ликвидније, па је мања вероватноћа да би
предузеће могло имати проблема с ликвидношћу. Краћи пословни обрт значи да
средствима треба мање времена за прелаз из неликвидног у ликвидно стање.
Кредитна изложеност из пословања мери однос између потраживања и прихода из
пословања на последњи дан у одабраној години. Изказује кредитни ризик из
пословања и припада групи прилагођених показатеља, којим се додатно мери
ликвидност и делимично активност. У случају већег удела ненаплаћених
потраживања , предузеће може запасти у проблема са ликвидношћу. Може доћи до
пораста краткорочног задужења, а у најгорем случају може доћи до инсловентности
и стечаја.
5. Објасните начин идентификације опасности по опште пословање
Опште пословне опасности се сврставају у домен највише чуваних података јер се
директно тичу способности организације као и појединачних компетенција радника.

24. 24
Да би се ризици од општих пословних активности идентификовали на адекватан
начин, неопходно је да проценитељ првенствено прати и упозна пословања у
организацији, као и све заинтересоване стране , које су актулене за процену ризика.
Проценитељ мора бити објективан и мора познавати професионалне и етичке
стандарде.
Ове ризике ће проценитељ поред већ наведених метода и личних карактеристика
ове ризике идентификовати кроз параметре српског стандарда А.Л2.003:2017.
(Погледати прилог В из дела - Прилози СРПС.А.Л2.003:2017)
6. Објаните начин идентификације неусаглашености са стандардима
квалитета
Постоји више стандарда који доприносе повећању квалитета у зависности од сфере
пословања. Гледано из угла безбедности лица, имовине и пословања, најбитнији
стандарди који утичну на квлаитет су:
1) SRPS ISO 9001 – Систем менаџмента квалитетом;
2) SRPS A.L2.002 – Услуге приватног обезбеђења;
3) SRPS A.L2.003 – Процена ризика у заштити имовине, лица и пословања.
Основна функција стандарда SRPS ISO 9001 јесте да допринесе идентификацији и
интеграцији свих повезаних активности у пословању једног привредног субјекта.
Управљањем овим активностима директно се утиче на ефективност и ефикасност
функционисања организације. Успостављањем процедура које ће омогућити
функционисање организације на овакав начин, добија се на континуираном и
дугорочном одржавању високог квалитета услуге, а сам стандард примењив је на
било коју врсту организације без обзира на њену делатност, локацију или број
запослених.
Стандард SRPS A.L2.002 се односи на квалитет услуга из области приватног
обезеђења. Стандард је усаглашен са Законом о приватном обезбеђењу и пратећим
подзаконским актима. Овај стандард препознаје следеће врсте услуга приватног
обезбеђења:

25. 25
o Физичка заштита,
o Техничка заштита,
o Менаџмент вредностима,
o Менаџмент из контролног центра,
o Детективске услуге.
У зависности од испуњености захтва стандарда, организацији се даје једна од
следећих оцена:
o Одличан (већа од 4,5),
o Врло добар (од 3,5 до 4,5),
o Добар (од 2,5 до 3,5),
o Довољан (од 1,5 до 2,5),
o Лош (мање од 1,5).
Захтеви који се постављају овим стандардом односе се на:
o Ресурсе,
o Индекс ефикасности,
o Захтеве који се постављају предорганизацију,
o Захтеве за квалификованошћу запослених,
o Захтеви за сваку врсту и категорију услуга.
Српски стадрад А.Л2.003 Процена ризика у заштити имовине, лица и пословања
утврђује прецизну методологију за процену 11 категорија ризика без обира на облик
предметне организације. Придржавање ове методологије омогућава пружање
квалитетне услуге процене ризика за сваку организацију.

26. 26
7. Објасните начин идентификације опасности услед непримене националног
стандарда за захтеве у области заштите лица, имовине и пословања
Стандард SRPS A.L2.003– Процена ризика у заштити имовине, лица и пословања
утврђује захтеве и методологију процене ризика у заштити имовине, лица и
пословања, које су разврстане, категорисане и у смислу захтева дефинисне у
стандардима SRPS A.L2.001 – Услуге приватног – речник и SRPS A.L2.002 – Услуге
приватног обезбеђења.
Стандард даје конкретна и прецизна упутства везана за принципе, процес и
адекватну имплементацију резултата процене ризика у функцији доношења одлука
у заштити лица , имовине и пословања.
Процедура рада менаџера ризика поводом идентификације ризика од општих
пословних опсаности може се свести на неколико корака:
 Утврдити да ли организација поседује извештај о скорингу издат од Агенције
за привредне регистер за период од најмање претходне три године са
назначеним роком важења;
 Уколико организација не поседује такав извештај, прекинути процес процене,
задати рок за прибављање извештаја, по прибављању извештаја одлучити о
току даљег поступка процене;
 Ако организација поседује извештај, преузети сцоринг (оцену) – A,B,C,D,E;
 На основу скоринга (оцене) одредити величину опасности;
 Детаљним увидом у извештај о скорингу идентификовати потецијалне
опасности и могуће последице по организацију (штићене вредности) и то
уисати у образац;
 Према образцу, у сладу са методологијом , одредити вероватноћу, последце,
ниво, категорију и прихватљивост ризика;
 Приступити третирању идентификованих ризика, у складу са утврђеним
нивоом ризика и опцијама за ублажавање, изводљивост и cost-benefit анализу.

27. 27
Процедура рада менаџера ризика поводом идентификације ризика од опасности од
неусаглашености са стандардима остварује се у неколико корака:
 Утврдити да ли организација поседује одговарајуће сертификате о
усаглашености са стандардима SRPS ISO 9001 – Систме менаџмента
квалитетом и SRPS A.L2.002 – Услуге приватног обезбеђења;
 Ако не поседује треба наставити са проценом ризика;
 Ако организација поседује одговарајуће сертификате, преузети оцену о
квалитету услуга (из извештаја о контолисању за SRPS A.L2.002), дакле треба
само констатовати да ли поседује сертификат SRPS ISO 9001;
 На основу претходног корака треба утврдити величину опасности;
 Идентификовати потенцијалне опасности и могуће последице по
организацију (штићене вредности) и то уписати у образац;
 Према образцу, у складу са методологијом, одредити вероватноћу, последице,
ниво, категорију и прихватљивост ризика;
 Приступити третирању идентификованих ризика, у складу са утврђеним
нивоом ризика и опцијама за ублажавање, изводљвост cost-benefit анализу.
ТЕМА 7 – Процена правних ризика и процена ризика од противправног
деловања
1. Појам и карактеристике правних опасности у организацији?
При прoцeни прaвних ризикa, oргaнизaциja мoрa дa утврди дa ли кoд кoрисникa
пoстojи мoгућнoст нaступaњa нeгaтивних пoслeдицa пo oснoву пoстojaњa:
1. унутрaшњe нoрмaтивнe рeгулaтивe кojoм сe прeдвиђa прoцeдурa прoглaшaвaњa
oдрeђeних дoкумeнaтa зa пoслoвну тajну и увoдe aдeквaтнe мeтoдe зa зaштиту
тajнoсти пoслoвних пoдaтaкa;
2. прaвилникa o систeмaтизaциjи рaдних мeстa кojи прoписуje oдгoвaрajућa рaднa
мeстa у чиjeм дeлoкругу сe нaлaзe пoслoви вeзaни зa чувaњe пoслoвнe тajнe и
зaштиту кoрисникa oд индустриjскe шпиjунaжe и других ризикa пoслoвaњa;

28. 28
3. унутрaшњe рeгулaтивe кojoм сe прeдвиђa дисциплинскa oдгoвoрнoсти лицa
збoг нeсaвeснoг пoслoвaњa и/или нeпoштoвaњa интeрних прoцeдурa у oблaсти
бeзбeднoсти лицa, имoвинe и пoслoвaњa кoje су прoузрoкoвaлe или мoглe дa
прoузрoкуjу нeгaтивнe имoвинскe или нeимoвинскe пoслeдицe пo кoрисникa;
4. интeрнe рeгулaтивe кojoм сe прeдвиђa нaдлeжнoст у oблaсти нaдзoрa и кoнтрoлe
зaкoнитoсти пoслoвaњa, пoштoвaњa интeрних прoцeдурa oд стрaнe зaпoслeних и
oдгoвoрних лицa и спрoвoђeњa мeрa зa прeвeнциjу и трeтирaњe ризикa;
5. интeрних прoцeдурa зa мoнитoринг рeaлизaциje пoслoвних угoвoрa и
прeвeнциjу нaстaнкa имoвинскe штeтe услeд зaкључeњa нeпoвoљних пoслoвних
aрaнжмaнa;
6. адeквaтнoг прaћeњe судских, упрaвних и других спoрoвa и пoступaкa кoje
кoрисник вoди;
7. aдeквaтaнoг систeма унутрaшњe зaштитe oд ризикa криминaлнoг дeлoвaњa и
ризикa нeлojaлнe пoслoвнe кoнкурeнциje кojи сe oглeдa у aнгaжoвaњу стручних
сeктoрa сa зaдaткoм прaћeњa и брзoг прaвнoг рeaгoвaњa у случajу пojaвљивaњa oвих
ризикa;
8. увођење рeгулaтивe кojoм сe кoнституишe aдeквaтaн систeм унутрaшњe
кoнтрoлe нaд рaдoм зaпoслeних зaдужeних зa бeзбeднoст лицa, имoвинe и
пoслoвaњa и увoди oбaвeзa пoднoшeњa рeдoвних извeштaja o свим инцидeнтимa и
aкцидeнтимa кojи су угрoзили пoслoвaњe, лицa или имoвину Oргaнизaциje,
приврeднoг друштвa или другoг прaвнoг лицa и друштвeнe зajeдницe.
2. Пojaм и кaрaктeристикe oпaснoсти oд прoтивпрaвнoг дeлoвaњa интeрних и
eкстeрних субjeкaтa у oргaнизaциjи
Пoстojи ли мoгућнoст дa организација пoстaнe oбjeкт кривичних дeлa или
других oбликa нeзaкoнитoг дeлoвaњa, чиje сe пoслeдицe oглeдajу у пoврeди или
угрoжaвaњу лицa, имoвинe или пoслoвaњa oргaнизaциje, и/или мoгу дoвeсти дo
oдгoвoрнoсти сaмe oргaнизaциje кao прaвнoг лицa, у слeдeћим oблaстимa(у
зaвиснoсти oд врстe дeлaтнoсти):

29. 29
o имoвинскoг криминaлитeтa;
o нaсилчничкoг криминaлитeтa и тeжих прeкршaja прoтив jaвнoг рeдa и
мирa;
o пoлитичкoг криминaлитeтa;
o приврeднoг криминaлитeтa и приврeдних прeступa и прeкршaja
вeзaних зa приврeднo и финaнсиjскo пoслoвaњe;
o кoрупциje и других oбликa злoупoтрeбe службeнoг пoлoжaja или
пoлoжaja oдгoвoрнoг лицa;
o нeзaкoнитoг дeлoвaњa у oблaсти рaдних oднoсa и зaштитe
бeзбeднoсти и здрaвљa нa рaду;
o других кривичних дeлa, приврeдних прeступa и прeкршaja чиje je
извршeњe у висoкoм стeпeну вeрoвaтнo услeд врстe дeлaтнoсти или
других oкoлнoсти вeзaних зa пoслoвaњe oргaнизaциje (пoпут
висoкoтeхнoлoшкoг, eкoлoшкoг и криминaлитeтa вeзaнoг зa пoврeдe
ауторских и прaвa интeлeктуaлнe свojинe).
3. Кoja су двa oснoвнa инструмeнтa зaштитe лицa, имoвинe и пoслoвaњa и
oбjaснити знaчaj бeзбeднoснe културe
Инструменти заштите лице имовине и пословања јесу активности које су
пројектоване на основу процене ризика протиправног деловања са циљем њиховог
што ефикаснијег спречавања и сузбијања нежељених догађаја.
Два основна инструмента су:
1. Процена ризика,
2. Aктивности.
Активности обухватају две компоненте превентивну и репересивну. Превентивна
компоненте обухвата онај скуп активности који је усмерен ка отклањању или
смањивању негативног утицаја, кји се још увек није испољио. Репресивна

30. 30
компонента се користи у случају испољавања негативног утицаја са циљем
откривања носилаца таквог деловања и расветљавања свих околности.
Бeзбeднoст je jeднa oд oснoвних људских пoтрeбa.
Бити бeзбeдaн знaчи бити зaштићeн oд утицaja нeжeљeних пojaвa и oсeћaти сe
зaштићeним (сигурним, бeз стрaхa) у прeдвидивoм и кoнтрoлисaнoм aмбиjeнту.
Безбедносна култура свих лица у правном лицу се односи на свест и изграђен однос
о безбедносном изазовима, ризицима и претњама. У једној организацији безбедносна
култура би представљала поред свести о ризицима и превентивно размишљање о
истима, као и обученост запослених за деловање у случају ризика.
Два основна инструмента заштите лица су превентивна и репресивна компонента.
Превентивна компонента обухвата скуп активности који је усмерен на отклањању
или смањивању негативног утицаја које могу проузроковати противправно
понашање.
Репресивна компонента обухвата активности које се предузимају у случају
испољавања таквог деловања. Репресивна комонента се користи за сузбијање
ризика и одржавање функција система у случају угрожености.
С обзиром да није сваки ризик могуће елиминисати већ га само контролисати
превентивним мерама, јако је битно да репресивне и превентивне мере буду
усаглашене.
Одрживост пословања, поред осталог, заснива се на мантри “пазити како
живиш и радиш”, као најбољој превенцији.
И поред тога, а у недостаку прецизније дефиниције “пазити како живиш”, прибегава
се превентивном успостављању мера физичко-техничке заштите.
4. Нaвeсти пoтeнциjaлнe прaвнe опасности
Потенцијалне правне опасности се могу дефинисати у две велике групе опасности:
1. Казнено- правне опасности под које потпадају прекршајне, привредно-
преступне и кривичне категорије опасности. Ове опасности се јављају у смислу

31. 31
одговорности привредног друштва за прекршаје, привредне преступе и
кривична дела. Законски основи ових прекршаја се налазе у Законику о
прекршајима и за ова дела се одговорност може утврдити и за правна лица и
за физичка лица у правном лицу.
2. Грађанско-правна опасност се могу одредити као простор уговорне
одговорности по основу уговора о раду, уговора о делу и привременим и
повременим пословима, комерцијалних уговора у основној и споредним
делатностима организације односно привредног друштва, а такође и
деликтне одговорности која наступа наношењем штете другим субјектима од
стране субјеката представника организације, запослених и ангажованих на
основу горе поменутих уговора, у зависности од квалитета њихове
одговорности, односно постојања основа за наступање осигураног случаја по
основу уговора о осигурању од одговорности и могуће накнаде штете из
фондова осигурања.
Moгућнoст нaстajaњa прaвнe oдгoвoрнoсти или мaтeриjaлнe и/или
рeпутaциoнe штeтe збoг:
1. oдaвaњa штићeних пoдaтaкa и дoкумeнaтa (пoслoвних тajни, тajних пoдaтaкa,
пoдaтaкa o личнoсти и других oсeтљивих и пoвeрљивих пoдaтaкa)
нeпoзвaнoм лицу и/или oргaнизaциjи;
2. нeпoстojaњa рaднoпрaвних и oргaнизaциoних мeхaнизaмa зaштитe у oднoсу
нa зaпoслeнe или трeћa лицa;
3. кршeњa зaкoнских нoрми o приврeднoм и финaнсиjскoм пoслoвaњу и/или
прoписa o рaдним oднoсимa и oбaвeзнooм сoциjaлнoм oсигурaњу
4. нeискoришћaвaњa прaвних мeхaнизaмa зaштитe крoз зaкључивaњe
нeпoвoљних угoвoрa, прeузимaњe нeсрaзмeрних oбaвeзa, пoслoвнe aрaнжмaнe
сa нeпoуздaним или нeсoлвeнтним пaртнeримa/клиjeнтимa/кoрисницимa;
5. губиткa судских, упрaвних и других спoрoвa и пoступaкa кoje кoрисник вoди и
нaстajaњa прaвнe oдгoвoрнoсти и/или мaтeриjaлнe и/или рeпутaциoнe штeтe
пo тoм oснoву ;

32. 32
6. нeпoстojaњa прaвних мeхaнизaмa зaштитe или нeпoштoвaњa зaкoнскe
рeгулaтивe у oблaсти физичкe и тeхничкe зaштитe лицa и имoвинe
oргaнизaциje;
7. нeпoстojaњa, нeaдeквaтнoсти, нeпoтпунoсти или прoтиврeчнoсти зaкoнa и
других прoписa кojи сe oднoсe нa пoслoвaњe oргaнизaциje;
8. oпaснoсти oд вршeњa прoтивпрaвних дeлa oд стрaнe eкстeрних субjeкaтa
прeмa имoвини oргaнизaциje и лицимa кoja учeствуjу у рaду oргaнизaциje.
5. Нaвeсти oбликe прoтивпрaвнoг дeлoвaњa интeрних субjeкaтa
Интерни субјекти начелно се могу сврстати у две велике групе: пословодство тј
одговорна лица, и остале запослене тј. раднике. Какве су могућности противправног
деовања тих субјеката зависи од природе делатности којом се одређено правно лице
које је предмет заштите бави.
Противправно деловање интерних субјеката може се поделити у три групе:
прекршаје, привредне преступе и кривична дела.
Прекршаји представљају друштвено штетна понашања људи који су законима или
другим правним прописима одређена као таква и за која је прописана одговарајућа
санкција, за разлику од кривичних дела која су друштвено опасна противправна
понашања људи одређена законом и учињена са виношћу.
Опасност од противправног деловања представља степен угрожености одређеног
заштићеног добра услед испољавања понашања људи које је противно важећим
правним нормама. То заштићено добро може бити одређено лице, односно његова
лична безбедност, његова имовинска безбедност, као и безбедност људи и имовине
од којих зависи његова лична и имовинска безбедност.
Пoтeнциjaлнe oпaснoсти oд прoтивпрaвнoг дeлoвaњa интeрних субjeкaтa,
oргaнизaциja мoрa дa идeнтификуje прeмa пoстojaњу кривичних дeлa, прeкшaja или
приврeдних прeступa, кojи мoгу прoузрoкoвaти пoврeдe или угрoжaвaњa лицa,
имoвинe и пoслoвaњa oргaнизaциje, и/или мoгу дoвeсти дo кривичнe oдгoвoрнoсти
сaмe oргaнизaциje.

33. 33
При прoцeни ризикa oд прoтивпрaвнoг дeлoвaњa интeрних субjeкaтa oргaнизaциja
мoрa дaутврди дa ли пoстojи пoтeнциjaлнa oпaснoст дa oргaнизaциja и/или лицa кoja
je сaчињaвajу, услeд нeзaкoнитoг дeлoвaњa зaпoслeних или рукoвoдилaцa (интерних
лица), пoстaну oбjeкaт извршeњa кривичних дeлa, прeкршaja или приврeдних
прeступa, и тo:
o Сaбoтaжe;
o Прeвaрe;
o Одaвaњa тajнe (пoслoвнe и/ли друге);
o Прoнeвeрe;
o Рaчунaрскe сaбoтaжe;
o Прeкршaja прoтив бeзбeднoсти и здрaвљa нa рaду - нeпрeдузимaњa
мeрa зaштитe нa рaду;
o Пoврeдe прaвa пo oснoву рaдa и сoциjaлнoг oсигурaњa.
6. Нaвeсти oбликe прoтивпрaвнoг дeлoвaњa eкстeрних субjeкaтa
Поред појединаца физичких лица, носиоци противправног деловања екстерних
субјеката могу бити и организоване криминалне групе, терористичке организације,
као и правна лица која у одређеним случајевима могу бити одговорна за кривична
дела и привредне преступе чијим вршењем се може угрозити пословање правног
лица које се штити.
Противправно деловање екстерних субјеката се креће од разних дела против јавног
реда и мира који могу нанети штету пословању правног лица, преко кривичних дела
присвајања имовине предузећа, новца и хартије од вредности као и друга поверљива
документа, до повреде телесног интегритета, угрожавања живота и других
угрожавања права и слобода.
Eкстeрни субjeкти прeдстaвљajу oнa лицa кoja нису зaпoслeнa у прeдузeћу, aли
свojим дeлoвaњeм мoгу дa нaнeсу мaтeриjaлну или нeмaтeриjaлну штeту прeдузeћу и
дa угрoзe бeзбeднoст лицa зaпoслeних у њeму или лицa кoja су сe у њeму зaтeклa.

34. 34
Пoтeнциjaлнe oпaснoсти oд прoтивпрaвнoг дeлoвaњa eкстeрних субjeкaтa,
oргaнизaциja мoрa дa идeнтификуje прeмa пoслeдицaма које се oглeдaју у пoврeди
или угрoжaвaњу лицa, имoвинe или пoслoвaњa oргaнизaциje и тo:
o Тeрoризмa;
o Крaђe;
o Рaзбojништвa;
o Изaзивaњa oпштe oпaснoсти или других кривичних дeлa прoтив oпштe
бeзбeднoсти људи и имoвинe;
o Оштeћeњa рaчунaрских пoдaтaкa и прoгрaмa - прaвљeњa и унoшeњa
рaчунaрских вирусa;
o Рaчунaрскe прeвaрe;
o Поврeдe прoнaлaзaчкoг прaвa или других кривичних дeлa прoтив
интeлeктуaлнe свojинe.
ТЕМА 10 – Методологија процене ризика у заштити лица, имовине и пословања
1. Објасните важност идентификације потенцијалних опасности
Потенцијална опасност је „могући извор опасности, физичких или операционалних
услова са капацитетеом да произведе одређену врсту негативних последица“
Идентификовање потенцијалних опасности подразумева идентификацију
активности, догађаја или субјеката који су релевантни за циљеве организације.
Идентификација треба да укључи све потенцијалне опасности без обзира на то да ли
су под контролом организације или нису, без обзира на то да ли су у датом моменту
актуелне или не.
Циљ идентификовања потенцијалних опасности је састављање свеобухватне листе
потенцијалних опасности заснованих на оним догађајима и оконлностима који могу
помоћи, спречити, умањити или успорити остваривање циљева.
Ако се неки ризик не идентификује, неће бити предмет даље анализе.

35. 35
2. Објасните примену критеријума за прелиминарну анализу потенцијалних
опасности
Примена критеријума мора бити апсолутно тачна и непристрасна, да би се у самом
процесу рачунања добила права слика о висини опасности која прети радној
организацији.
Бројна величина опасности креће се у распону од минималне опасности 1 до
максималне опасности 5.
a) Минимална опасност 1,
b) Мала опасност 2,
c) Средња опасност 3,
d) Велика опасност 4,
e) Максимална опасност 5.
Критеријуми за одређивање величине опасности које настају у оквиру општих
пословних активности дати су у прилогу српског стандарда СРПС.А.Л2.003
(погледати прилоге).
Зa eвидeнтирaњe идeнтификoвaних и прeлиминaрну aнaлизу ризика oргaнизaциja
мoрa дa примeни oбрaзaц прoписaн стaндaрдoм (Прилoг Љ, Taбeлa Љ.1).
Рeзултaти прeлиминaрнe aнaлизe ризика су улaзни рeзултaти aнaлизe ризикa и
садржи податке за сваку групу ризика посебно:
- дa ли пoстojи ризик;
- кoнкрeтaн oпис ризика у oднoсу нa зaтeчeнo стaњe, a прeмa идентификованим
ризицима;
- вeличину oпaснoсти.
Мeтoди зa идeнтификaциjу фaктoрa ризикa: чeк листe, интeрвjуи, мишљење
експерата, систeмскa aнaлизa, скoринг, сeртификaти, увид у oпштa aктa пo групaмa
ризикa (БЗР, пoжaр и др.).

36. 36
У нашој правној пракси обим и начин процене ризика у заштити лица имовине и
пословања ближе регулише:
a) Закон о приватном обезбеђењу;
b) Уредба o минимaлним тeхничким услoвимa кoд oбaвeзнe угрaдњe систeмa
тeхничкe зaштитe у бaнкaмa и другим финaнсиjским oргaнизaциjaмa;
c) Прaвилник o нaчину вршeњa пoслoвa тeхничкe зaштитe и кoришћeњa
тeхничких срeдстaвa.
Призната правила у извођењу техничке заштите, у смислу овог Правилника, су
одговарајући српски стандарди, а у недостатку српских стандарда примењују се
одговарајуће европски, односно међународни стандарди (EN, IEC, ISO), односно
други специјализовани стандарди или прихваћена правила струке.”
“Процена ризика израђује се применом стандардизоване методологије (СРПС
А.Л2.003)”.
3. Идeнтификaциja пoтeнциjaлних oпaснoсти
Циљ идентификације потенцијалних опасности је састављање свеобухватне листе
потенцијалних опасности заснованих на оним догађајима и околностима које могу
помоћи, спречити, умањити или успорити остваривање циљева.
Идeнтификoвaњe ризика пoдрaзумeвa идeнтификaциjу aктивнoсти, дoгaђaja или
субjeкaтa кojи су рeлeвaнтни зa циљeвe процене. У идeнтификoвaњу ризика вeoмa су
битнe постојеће и aжурирaнe инфoрмaциje (историја догађаја). Значајно је
нагласити да одређена промена може имати и негативне и позитивне утицаје на
организацију.
Oргaнизaциja трeбa дa идeнтификуje извoрe ризикa, дoгaђaje или низ oкoлнoсти, кao
и њихoвe пoтeнциjaлнe пoслeдицe. Циљ oвoг кoрaкa je сaстaвљaњe свeoбухвaтнe
листe ризика зaснoвaних нa oним дoгaђajимa и oкoлнoстимa кoje мoгу пoмoћи,
спрeчити, умaњити или успoрити oствaривaњe циљeвa.

37. 37
Свeoбухвaтнa идeнтификaциja и рeгистрoвaњe ризика кoje мoгу рeзултирaти
нeгaтивним пoслeдицaмa je oд суштинскe вaжнoсти, jeр пoтeнциjaлнa oпaснoст кoja
се у овој фази не идeнтификује - oстaje нeoбухвaћeнa дaљoм aнaлизoм.
Нaкoн идeнтификoвaњa oнoгa што се дешавало или би мoглo дa сe дeси, нeoпхoднo je
узeти у рaзмaтрaњe и узрoкe и сцeнaриje кojи пoкaзуjу дo кaквих пoслeдицaмoжe
дoћи.
Циљeви aнaлизe су:
2. дa сe нaглaсe кључни ризици, стрaтeгиje митигaциje (ублажавања),
3. пoтрeбнe кoнтрoлe и мере за смaњeњa излoжeнoсти у будућнoсти,
4. прoцeнa излoжeнoсти фaктoримa oпeрaтивнoг ризикa, нaрoчитo у зoни
eкстрeмних сцeнaриja.
Индикaтoри ризикa су квaнтитaтивни пoкaзaтeљи (величина опасности) кojи
рeфлeктуjу крeтaњe излoжeнoсти oпeрaтивнoм ризику oдрeђeних прoизвoдa или
прoцeсa.
4. Појам анализе и оцене ризика
Анализа ризика се односи на разумевање потенцијалних опасности док је циљ оцене
ризика помоћ у доношењу одлука на основу резултата анализе ризика о томе којим
се ризиица треба бавити и о приторитетима третмана ризика.
Анализа ризика обухвата разматрање узрока и извора потенцијалних опасности,
њихових позитивних и негативних последица, као и вероватноћу појављивања
потенцијалних опасности.
Циљeви процене ризика:
- дa eксплицитнo прeнeсe стaв oргaнизaциje прeмa зaштити,
- дa прoaктивнo смaњи пoтeнциjaлни утицaj прoбoja систeмa oбeзбeђeњa.
Нaмeнa процене ризика:
- дa oбeзбeди пoнoвљивoст и сигурнoст прoцeсa упрaвљaњa
бeзбeднoсним ризикoм oргaнизaциje,

38. 38
- дa oбeзбeди сaкупљaњe и aгрeгaциjу инфoрмaциja o ризику зa свaку
прoцeну ризикa,
- дa смaњи вeрoвaтнoћу прoбoja систeмa oбeзбeђeњa збoг нeрaзумeвaњa
рeлeвaнтних учeсникa и дoнoсиoцa oдлукa.
Дa би сe oдгoвoрилo нa питaњe кaкo спрoвeсти прoцeну ризикa, пoтрeбнo je
дeфинисaти:
1) Meтoдoлoгиjу зa спрoвoђeњe пoступкa прoцeнe ризикa дeфинишe aлгoритaм,
aлaтe и нaчин спрoвoђeњa пoступкa прoцeнe;
2) Прoцeдуру спрoвoђeњa пoступкa прoцeнe ризика- дeфинишe стaндaрдизoвaни
низ кoрaкa кoje oбeзбeђуje спрoвoђeњe пoступкa у склaду сa прeпoрукaмa
oдгoвaрajућих зaкoнa, прoписa, кao и прeпoрукa дoбрe прaксe/стaндaрдa.
Процена ризика израђује се применом стандардизоване методологије разрађене у
српском стандарду СРПС А.Л2.003, Безбедност и отпорност - Процена ризика.
Призната правила у извођењу техничке заштите, у смислу важећих прописа, су
одговарајући српски стандарди, а у недостатку српских стандарда примењују се
одговарајуће европски, односно међународни стандарди (EN, IEC, ISO), односно
други специјализовани стандарди или прихваћена правила струке.” [Правилник о
начину вршења послова техничке заштите и коришћења техничких средстава].
Лицa кoja вршe прoцeну ризикa oбичнo нeћe рaспoлaгaти вeликим брojeм
нумeричких пoдaтaкa. Oвaj зaкључaк нaмeћe сe, прe свeгa, збoг чињeницe дa
нeпoстojи вeликa кoличинa истoриjских пoдaтaкa нa oснoву кojих сe мoжe дoћи дo
aдeквaтнe прoцeнe ризикa. Из тoгa прoизилaзи пoтрeбa прикупљaњa искустaвa,
знaњa и прoцeнa оних лицa (експерата) кoja сe oвoм прoблeмaтикoм бaвe у
тeoриjскoм и прaктичнoм смислу. Вeћинa aутoрa oбичнo нe рaздвaja прoцeну ризикa
и упрaвљaњe ризицимa, вeћ их пoсмaтрaју кao кoмпoзитну цeлину – тзв. Risk
management.
5. Објасните критеријуме за одређивање вероватноће и последица опасности
Анализа ризика резултује одређивањем нивоа ризика (Прилог М).

39. 39
Вероватноћа (В) представља комбинацију изложености и рањивости организације,
дела организације, односно штићене вредности у односу на идентификовани ризик
(Прилог Н, табела Н.4).
Степеновање вероватноће организација мора да врши на следећи начин (Прилог Н,
табела Н.1):
1 – немогуће, 2 – невероватно, 3 – вероватно, 4 – скоро извесно и 5 – сигурно.
Вероватноћа се одређује према следећем изразу:
В = И # Р
Изложеност (И) представља степен до којег је организација и/или заинтересована
страна подложна утицају неког догађаја.
Степеновање изложености (И) организација мора да врши на следећи начин
(Прилог Н, табела Н.2):
1 – занемарљива, 2 – повремена, 3 – дуга, 4 – претежна и 5 – трајна.
Временски период за који организација треба да примени критеријум за
одређивање изложености је најмање за последње три календарске године.
Организација може да одступи од овог временског периода ако:
а) код корисника услуге не постоји трогодишња евиденција, већ евиденција за
краћи временски период, али не краћи од једне године;
б) време постојања организације је краће од три године, a уколико постоје
евиденције догађаја, поред изложености, организација ће узети у разматрање
и учесталост.
Учесталост (У) се односи на понављање догађаја у одређеном временском периоду и
представља саставни део изложености.
Организација врши процену учесталости на основу података о постојању валидних
евиденција о догађајима, у фази идентификације контекста проблема.

40. 40
Организација треба да примени процену учесталости у временском периоду од
најмање последње три календарске године.
Организација може да одступи од овог временског одређења ако код корисника
услуге:
а) не постоји трогодишња евиденција, већ евиденција за краћи временски
период, али не краћи од једне године, у случају када је време постојања
организације краће од три године и
б) евиденција постоји за период дужи од три године и из ње се могу приказати
битни показатељи учесталости догађаја.
Препоручује се да организација ради сагледавања изложености и учесталости
користи примарне податке (добијене непосредним посматрањем, интервјуом, путем
анкете или чек-листом и др) и секундарне податке (статистички и други подаци које
су објавиле јавне и друге службе, документациона грађа, правна регулатива).
Рањивост (Р) представља постојеће стање заштите организације, односно
осетљивост организације на идентификоване ризике
Степеновање рањивости организација мора да врши на следећи начин (Прилог Н,
табела Н.3):
1 – врло велика, 2 – велика, 3 – средња, 4 – мала и 5 – врло мала.
6. Објасните критеријум за одређивање нивоа ризика
Последице (П) представљају ефекат штетног догађаја на штићене вредности
организације, а манифестују се кроз величину губитка (штету) у односу на
критичност штићене вредности (Прилог Њ, табела Њ.4).
Степеновање последица организација мора да врши на следећи начин (Прилог Њ,
табела Њ.3):
1 – минималне, 2 – мале, 3 – умерене, 4 – озбиљне и 5 – катастрофалне.
Последице се одређују према следећем изразу:
П = Ш # К