Identyfikacja źródeł ryzyka na potrzeby infrastruktury krytycznej
Działaniem w ramach cyklu zarządzania ryzykiem jest jego identyfikacja sprowadzająca się do wykrycia źródeł ryzyka i jego opisu, a następnie usystematyzowania ryzyk według przyjętych kategorii. Ze względu na charakter czynności proces ten powinien być wykonywany wielokrotnie zarówno podczas planowania, jak i w nieskończonym cyklu zarządzania ryzykiem.
Opis ryzyka to jego określenie poprzez podanie jego źródła, zdarzenia (incydent lub wypadek) wywołującego ryzyko oraz przyczyn pozwalających na powstanie ryzyka, a także oraz skutków jakie to ryzyko wywoła. Zdarzeniem jest wystąpienie lub zmiana konkretnych okoliczności, które mogą wystąpić raz lub wielokrotnie.
Proces identyfikacji ryzyka na potrzeby ochrony infrastruktury krytycznej powinien być iteracyjny, przeprowadzany we wszystkich fazach i etapach zarządzania ryzykiem. Powinien on angażować wszystkie podmioty, w których władaniu są poszczególne zasoby infrastruktury, w tym uwzględniać złożony jej charakter i wszelkie zależności funkcjonalne pomiędzy jej elementami. Za właściwe uznaje się przekazanie podstaw informacyjnych oraz zaangażowanie personalnie osób z odpowiednią wiedzą z tego obszaru.
Zdefiniowane we wcześniejszej fazie kategorie ryzyka pozwalają kwalifikować wszystkie niekorzystne zdarzenia mogące pojawić się podczas planowania i realizacji nieustannego procesu zarządzania ryzykiem, a tym samym stanowią zunifikowany mechanizm pozwalający na gromadzenie i przetwarzanie tego typu informacji.
Podstawowym rezultatem etapu identyfikacji ryzyka jest lista zidentyfikowanych źródeł zagrożeń z obszaru ochrony infrastruktury krytycznej. Wykaz ten powinien zawierać również spis czynności wyzwalających, tj. symptomów i sygnałów ostrzegawczych, wskazujących na okoliczności wystąpienia niekorzystnego zdarzenia. Struktura listy źródeł ryzyka na potrzeby ochrony infrastruktury krytycznej mogłaby przybrać poniższą formę:
- Identyfikator ryzyka, ułatwiający jego monitorowanie i kontrolę.
- Kategoria, przyczyna i charakter ryzyka, do której zalicza się dany czynnik (zagrożenie, okazja).
- Nazwa lub opis całej lub części infrastruktury krytycznej, której ryzyko dotyczy, w tym podanie nazw podmiotów, w których właściwości pozostają określone elementy infrastruktury.
Efekt ryzyka w postaci opisu skutku wystąpienia zagrożenia lub okazji.
Symptomy ryzyka jako okoliczności wskazujące na to, że doszło lub wkrótce dojdzie do wystąpienia ryzyka.
Ważne jest by na tym etapie nie pominięte zostały ryzyka, których źródła znajdują się poza kontrolą organu właściwego dla ochrony infrastruktury krytycznej. Nie powinniśmy pomijać badania efektów ubocznych poszczególnych skutków oraz określenia możliwych przyczyn i scenariuszy ukazujących jakie skutki mogą wystąpić.
Realizacja procesu identyfikacji ryzyka jest wspierana technikami i narzędziami wskazanymi w ramach etapu planowania zarządzania ryzykiem. Przewidzenie, jakie zdarzenia mogą istotnie wpłynąć na niezrealizowanie planowanych zadań byłoby o wiele trudniejsze bez możliwości wykorzystywania tych technik i specjalizowanych narzędzi.
Właściwe wykonanie tego etapu jest możliwe wyłącznie w przypadku posiadania głębokiej wiedzy na temat samej infrastruktury krytycznej, jak i doskonałej znajomości wszystkich zagadnień z nią związanych, w tym otoczenia w jakim ona funkcjonuje. Zbagatelizowanie lub pominięcie któregoś z zagrożeń spowodowałoby objęcie jedynie fragmentu rzeczywistości, co wpłynęłoby na istotę i sens zarządzania ryzykiem.
Artykuł o podobnej treści ukazał się w Biuletynie Instytutu Systemów Informatycznych, Nr 8/2011, str. 45-52, 2011 pod tytułem Risk Management for the Needs of Critical Infrastructure.