blog.jpg

Planowanie zarządzania ryzykiem w infrastrukturze krytycznej

Przygotowanie procesu zarządzania ryzykiem na potrzeby infrastruktury krytycznej

Efektywne zarządzanie ryzykiem, niezależne od formy i obszaru działania, wymaga przede wszystkim planowania sprowadzającego się do przewidywania tego, w jaki sposób będą kształtowały się w przyszłości różne procesy lub zdarzenia, a także do programowania i tworzenia planu.

Planowanie zarządzania ryzykiem na potrzeby ochrony infrastruktury krytycznej powinno polegać na przygotowaniu i zorganizowaniu procesu zarządzania ryzykiem, w ramach którego zostaną określone m.in.: progi akceptacji ryzyka, system oceny i interpretacji zdarzeń, wskaźniki wczesnego ostrzegania, a także zostanie stworzona struktura organizacyjna. Zadaniem takiej struktury powinno być podejmowanie działań zmierzających do izolacji, zmniejszenia i ewentualnego wyeliminowania poszczególnych ryzyk, a także przygotowanie alternatywnych metod działania, w celu zabezpieczenia przed zagrożeniami mogącymi pojawić się podczas planowania i wykonywania prac związanych z ochroną infrastruktury krytycznej.

Efektem podjętych prac w ramach planowania na potrzeby ochrony infrastruktury krytycznej powinno być stworzenie tzw. planu zarządzania ryzykiem zawierającego m.in.:

    • Ogólny opis działań, jako podstawową prezentację wszystkich prac, dla których będzie zastosowane zaaplikowane zarządzanie ryzykiem, w tym wskazane, kiedy i jak zarządzanie ryzykiem powinno być stosowane.
    • Opis ról i odpowiedzialności z nimi związanych, jako lista obowiązków i uprawnień związanych z zarządzaniem ryzykiem dla poszczególnych właścicieli elementów infrastruktury krytycznej, w tym zasady raportowania oraz ścieżki eskalacji zagadnień.
    • Opis procesu zarządzania ryzykiem, jako przedstawienie poszczególnych jego kroków i wskazanie, kiedy każdy z nich będzie stosowany wraz z ew. określeniem wszelkich odstępstw w tym zakresie oraz powodów, dla których te odstępstwa poczyniono, w tym podanie charakterystyki procesu ciągłego śledzenia ryzyka.
    • Wskazanie kategorii, wskaźników, systemu ocen i progów akceptacji ryzyka, w tym m.in.:
      • Kategorii ryzyk i kategorii reakcji na ryzyko w zależności od tego, czy jest ono postrzegane jako zagrożenie, czy też jako szansa.
      • Wskaźników pozwalających na wczesne ostrzeganie, tj. materializowanie się ryzyka, poprzez pomiar zmian w krytycznych obszarach dot. funkcjonowania infrastruktury krytycznej i identyfikowanie odpowiednich działań zapobiegawczych oraz określanie warunków i czasu ich uruchomienia.
      • Systemu ocen, jako metody zobrazowania ryzyk, wykorzystywanego w analizie ryzyka oraz zasady interpretacji uzyskanych wyników.
      • Progów tolerancji na ryzyko i progów akceptacji, czyli kryteriów określających, kiedy powinny zostać podjęte działania będące odpowiedzią na zaistniałe ryzyko.
  • Oszacowanie wymaganego budżetu dla zapewnienia sprawnego zarządzania ryzykiem.
  • Opis narzędzi i technik wspomagających proces zarządzania ryzykiem, w tym źródła danych, które można wykorzystywać.
  • Określenie wymagań dokumentacyjnych, w tym:
    • Sposobu tworzenia dokumentacji procesu zarządzania ryzykiem, w tym opis systemu raportowania jako określenie celu i przeznaczenia, częstotliwości, struktury i wymaganej zawartości raportów.
    • Dostępnych wzorów dokumentów, ich przeznaczenia i lokalizacji, w celu osiągnięcia spójnego raportowania i możliwości agregacji informacji z poszczególnych raportów, w tym przygotowywania szablonów m.in. planu reakcji na ryzyka i rejestru ryzyk.
    • Zasad zapewnienia kontroli i jakości dokumentów, ich wersji, sposobu przechowywania, jednorodnej struktury i formatu, trybu nanoszenia poprawek, spójności między dokumentami oraz zatwierdzania, przeglądów i informacji zwrotnej.
  • Opis metody okresowych przeglądów planu zarządzania ryzykiem jako sposobu na weryfikację stosowanych praktyk zarządzania ryzykiem, w tym listy kontrolne dopasowane do rodzaju prowadzonych działań i wykaz zagadnień wymagających uwagi, w tym źródła informacji uzupełniających.
  • Harmonogram działań związanych z zarządzaniem ryzykiem.
  • Słownik terminów jako element pozwalający rozumieć w jednoznaczny sposób poszczególne zagadnienia zawarte w planie przez wszystkie zaangażowane podmioty.

Ujęty w planie zarządzania ryzykiem opis działań, jak i ról oraz odpowiedzialności powinien przedstawiać główne zadania z obszaru ochrony infrastruktury krytycznej i odpowiadające im cele wraz z określonymi ramami czasowymi, jak i wskazywać podmioty odpowiedzialne za ich osiągnięcie. Ponadto, opis ten powinien formułować wymagania w zakresie procesu obiegu i zatwierdzania wszystkich dokumentów tworzonych w ramach zarządzania ryzykiem, w sposób uniemożliwiający pominięcie istotnych interesariuszy, których potencjalne uwagi i sugestie mogłyby zasadniczo wpłynąć na minimalizację ryzyka. Przedstawienie poszczególnych kroków zastosowanego procesu zarządzania ryzykiem i określenie warunków ich wykonania powinno pozwolić na zobrazowanie logicznej spójności całego podejścia do procesu zarządzania dla zachowania kompletności i poprawności wszystkich działań. Ominięcie któregokolwiek z opisanych etapów mogłoby doprowadzić do nieuwzględnienia jakichś czynników decydujących o docelowym modelu ochrony infrastruktury krytycznej

Rozpatrując infrastrukturę krytyczną można w niej wyróżnić pewne kategorie ryzyka obejmujące przykładowo obszar: techniczny, organizacyjny, zewnętrzny i środowiskowy. W każdej z nich można wydzielić zarówno obszary zagrożeń, jak i poszczególne czynniki ryzyka. Podział taki pozwala na uporządkowanie typów ryzyk ze względu na źródło pochodzenia, a tym samym stwarza możliwość dedykowania specjalizowanych zasobów do poszczególnych kategorii. Do obszaru technicznego można zaliczyć wszystkie te ryzyka, które dotyczą szeroko rozumianej technologii, w tym automatyki wspierającej współczesne rozwiązania stanowiące elementy infrastruktury krytycznej. Przyjęta struktura zarządzania i koordynacji działań w ramach ochrony tej infrastruktury będzie tworzyła kolejną kategorię ryzyk. Grupę zagrożeń zewnętrznych będą stanowiły czynniki wynikające z przyczyn naturalnych lub z działalności człowieka, w tym terroryzmu, mogące wywołać niekorzystne zmiany cech fizycznych, chemicznych lub biologicznych zasobów, tworów i składników chronionej przyrody. Do ostatniej z ww. kategorii, tj. grupy ryzyk środowiskowych możemy zaliczyć zagrożenia wynikające z katastrof naturalnych, w tym m.in.: powodzi, pożaru i trzęsienia ziemi.

Dla zapewnienia prawidłowego i uporządkowanego procesu postępowania z ryzykiem w obszarze ochrony infrastruktury krytycznej można określić następujące kategorie reakcji na ryzyko:

  • REDUKCJA - podjęcie działań w celu redukcji prawdopodobieństwa zajścia zdarzenia lub minimalizacji skutku, jeżeli zagrożenie miałoby się zmaterializować.

  • ELIMINACJA - zmiana wybranego elementu związanego z funkcjonowaniem lub ochroną infrastruktury, jak np.: zmiana organizacji zarządzania, technologii, dostawców, sposobu produkcji itp.

  • PRZENIESIENIE - przekazanie odpowiedzialności za określone zagrożenie na stronę trzecią, np. poprzez wykupienie ubezpieczenia.

  • AKCEPTACJA - świadoma decyzja co do powstrzymania się od jakichkolwiek działań zapobiegawczych i jednoczesne stałe monitorowanie danego zagrożenia pod kątem oceny, czy można je dalej tolerować.

  • WSPÓŁDZIELENIE - pewna forma podziału ryzyka pomiędzy strony według ustalonych reguł.

W planie zarządzania ryzykiem nie można zapomnieć o wskaźnikach wczesnego ostrzegania, systemie ocen w zakresie interpretacji uzyskanych wyników i progach tolerancji oraz akceptacji ryzyka, których odpowiednie zdefiniowanie jest kwintesencją wszelkich działań na rzecz ochrony infrastruktury krytycznej niejednokrotnie decydującą o stosownej reakcji na pojawiające się zdarzenia.

Niemniej ważne jest oszacowanie budżetu związanego z zarządzaniem ryzykiem. Pamiętać przy tym należy, że w praktyce często posiadane środki finansowe wpływają na wybierane mechanizmy ochrony redukujące zidentyfikowane ryzyka, ale też ich brak lub zbytnie ograniczenie uniemożliwia wdrożenie wszystkich wymaganych zabezpieczeń. W planie zarządzania ryzykiem powinien znaleźć się również opis specjalizowanych narzędzi i sprawdzonych technik, bez wsparcia których trudne byłoby sprawne przeprowadzenie np. analizy ryzyka, czy też odpowiednie zaplanowanie reakcji na ryzyko dla tak olbrzymiej listy zasobów jaką tworzy infrastruktura krytyczna i zagrożeń z nią związanych. Do przykładowych technik możliwych do wykorzystania w poszczególnych etapach zarządzania ryzykiem, a także narzędzi służących do wykonywania procedur i szybkich obliczeń wspierających te techniki można zaliczyć:

  • TECHNIKI: Analizę BPEST (Business, Political, Economic, Social, Technological), PESTLE (Political Economic Social Technical Legal Environmental), FMEA (Failure Mode & Effect Analysis) i CRAMM (CCTA Risk Analysis and Management Method).
  • TECHNIKI: Analizę drzewa zdarzeń (Event tree analysis) i drzewa niesprawności (fault tree analysis).
  • TECHNIKI: Modelowanie zależności (dependency modelling) i opcji rzeczywistych (real option modelling), a także podejmowanie decyzji w warunkach ryzyka i niepewności (decision taking under conditions of risk and uncertainty).
  • NARZĘDZIA: PEST Advanced Software Analysis Tool, SWOT Expert, CRAMM Expert, RISKAN, Deep SWOT analysis software, PILAR / EAR.

Poza ww. technikami spotyka się również stosowanie kwestionariuszy (questionnaires), prognozowania (prospecting), wykonywanie analiz biznesowych (business studies) i analiz scenariuszy (scenario analysis), porównywanie z wzorcowymi rozwiązaniami w danej branży (industry benchmarking), przeprowadzanie warsztatów w zakresie oceny ryzyka (risk assessment workshops), czy też wykonywanie analiz niebezpieczeństw i operatywności (hazard & operability studies). Oprogramowania wspierającego te techniki jest wiele zarówno komercyjnego, jak i ogólnie dostępnego, jak np.: SmartDraw, czy EBIOS.

Zapewnienie odpowiedniej jakości prac wymaga sformułowania wymagań co do tworzonej dokumentacji poprzez przygotowanie szablonów dokumentów. Pozwalają one niejednokrotnie zapewnić spójność tworzonej dokumentacji i przyspieszyć prace, szczególnie jeśli wymagane jest, tak jak w przypadku infrastruktury krytycznej, agregowanie danych pochodzących od różnych podmiotów. Opisane w planie zarządzania ryzykiem metody kontroli i weryfikacji mają upraktycznić cały proces i zapewnić jego ciągłą aktualność, spójność, kompletność i niesprzeczność zawartych w nim wymagań. Brak procedur kontroli oraz okresowych przeglądów planu zarządzania ryzykiem mógłby przynieść porównywalnie nieodwracalne skutki, co brak samego planu. Dla zapewnienia zachowania reżimu czasowego realizowanych zadań w ramach poszczególnych faz w planie zarządzania ryzykiem definiowany jest harmonogram działań pokazujący poszczególne etapy i oczekiwane rezultaty na osi czasu z zachowaniem nieskończonego cyklu. Rozplanowanie przebiegu czynności w czasie pomaga uświadomić ich zakres oraz zależności między nimi, ułatwia też nadzorowanie i wczesne wykrywanie zagrożeń realizacji. Bogactwo języka sprawia, że umieszczenie w planie zarządzania ryzykiem przyjętej nomenklatury niejednokrotnie pozwala na wykluczenie sprzeczności i nieporozumień, co do istotny poszczególnych zagadnień.

Wysokiej jakości produkt w postaci planu zarządzania ryzykiem przekłada się bezpośrednio na kolejne etapy zarządzania. Dostarcza mechanizmy niezbędne do przeprowadzenia analizy i określenia środków redukujących ryzyko, a także systematyzuje i porządkuje podejście do całego procesu zapewniając jego kompletność i spójność.

Wszelkie prace związane z tworzeniem i aktualizacją planu zarządzania ryzykiem na potrzeby ochrony infrastruktury krytycznej, ze względu na swój charakter i zawartość, powinny odbywać się z zachowaniem przepisów o ochronie informacji niejawnych.


Artykuł o podobnej treści ukazał się w Biuletynie Instytutu Systemów Informatycznych, Nr 8/2011, str. 45-52, 2011 pod tytułem Risk Management for the Needs of Critical Infrastructure.


Wszelkie prawa zastrzeżone. Kopiowanie, powielanie i wykorzystywanie części lub całości materiałów zawartych na tej stronie w formie elektronicznej lub jakiejkolwiek innej bez zgody autora zabronione.

Kontakt

Email: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

UWAGA! Ten serwis używa cookies i podobnych technologii.

Brak zmiany ustawienia przeglądarki oznacza zgodę na to.

Zrozumiałem