Szacowanie wielkości prawdopodobieństwa i skutków zaistnienia zidentyfikowanych ryzyk dla infrastruktury krytycznej
Elementem procesu zarządzania ryzykiem jest faza jego analizy, podczas której szacuje się wielkości prawdopodobieństwa i skutki zaistnienia zidentyfikowanych uprzednio ryzyk. Jest to proces służący poznaniu ryzyka oraz określenia jego poziomu. Gromadzone są tu podstawy do szacowania ryzyka oraz podejmowania decyzji w zakresie postępowania z nim. Uzyskane wyniki tego etapu stanowią podstawę do dalszego planowania reakcji na niekorzystne zjawiska.
Przeprowadzenie analizy ryzyka na potrzeby infrastruktury krytycznej powinno rozpocząć się od tzw. analizy jakościowej polegającej na hierarchizacji zidentyfikowanych ryzyk według ich potencjalnego wpływu na bezpieczeństwo infrastruktury, w tym możliwej odległości w czasie. Czynność ta powinna polegać na filtracji tych ryzyk, w celu ustalenia, które z nich mogą zostać zaakceptowane ze względu na znikome prawdopodobieństwo wystąpienia oraz które i w jakiej kolejności powinny być przedmiotem dalszej analizy i zaplanowania reakcji na ryzyko.
W wyniku przeprowadzenia analizy jakościowej powinno się uzyskać przybliżoną ocenę prawdopodobieństwa wystąpienia danego czynnika ryzyka i szacunkową ocenę istotności zagrożenia lub okoliczności zidentyfikowanej jako czynnik ryzyka. Powtarzanie tego typu analizy i badanie uzyskiwanych wyników w naturalny sposób pozwoli na zaobserwowanie trendów, które mogą stanowić podstawę do podjęcia uzasadnionych decyzji o intensyfikacji lub ograniczeniu działań związanych z zarządzaniem ryzykiem.
Rezultatem wykonania jakościowej analizy ryzyka na potrzeby ochrony infrastruktury krytycznej powinna być lista ryzyk pod względem priorytetów w zakresie planowania i podejmowania działań zapobiegawczych oraz wykaz ryzyk do dalszej analizy.
W przypadku identyfikacji ryzyk o znacznym wpływie na ochronę infrastruktury krytycznej analiza jakościowa powinna być uzupełniona o analizę ilościową, polegającą na określeniu wymiernych wartości wielkości prawdopodobieństwa oraz skutków wystąpienia niekorzystnych zdarzeń. Pomiar taki pozwala ustalić w mierzalny sposób szansę osiągnięcia odpowiedniego zabezpieczenia infrastruktury, a także określić poziomy niezbędnych rezerw czasowych i kosztowych, które mogą być potrzebne jako rekompensata skutków wystąpienia poszczególnych ryzyk.
Do grupy podstawowych narzędzi i technik stosowanych do jakościowej analizy ryzyka zalicza się skale i macierze ocen prawdopodobieństwa i skutków wystąpienia ryzyka. Dla analizy ilościowej narzędzia różnią się między sobą ze względu na stopień skomplikowania i obejmują najczęściej:
- Badania ankietowe na temat wystąpienia określonych zdarzeń, w celu wyznaczenia wielkości prawdopodobieństwa i skutków wystąpienia ryzyka.
- Techniki symulacyjne umożliwiające generowanie hipotez dotyczących prawdopodobieństwa zaistnienia określonego scenariusza warunków eksploatacji i ochrony infrastruktury krytycznej.
- Analizę drzew decyzyjnych pozwalającą zbudować diagramy następstw wraz z określonym ich prawdopodobieństwem i kosztami, zawierające każdą z możliwych logicznych ścieżek zdarzeń.
- Analizę wrażliwości pozwalającą na wyznaczenie, które ryzyka mają potencjalnie największy wpływ ochronę infrastruktury.
Efektem przeprowadzenia analizy ilościowej ryzyka dla potrzeb ochrony infrastruktury krytycznej powinna być:
- Lista zmierzonych ilościowo ryzyk uszeregowanych według priorytetów, którą wykorzystuje się do planowania i podejmowania działań zapobiegawczych.
- Analiza probabilistyczna zawierająca prognozy dotyczące kosztów i czasów realizacji zadań na rzecz ochrony infrastruktury, w tym wielkości prawdopodobieństwa osiągnięcia celów kosztowych i czasowych.
- Lista trendów charakteryzujących wyniki ilościowej analizy ryzyka uzyskanych na podstawie kilkukrotnego jej przeprowadzenia i wykorzystywanych dla uszeregowania ryzyk pod względem priorytetu w zakresie planowania i podejmowania działań zapobiegawczych.
Zbiorcza analiza ryzyka stanowić może zatem kombinację powyższych zależności w odniesieniu do okoliczności dostępnych informacji, danych i zasobów. Sama prezentacja rezultatów analizy ryzyka sprowadzać się może do wyznaczenia skutków i ich prawdopodobieństwa na osi czasu pogrupowanych względem sytuacji i wyrażonych w sposób materialny lub niematerialny.
Artykuł o podobnej treści ukazał się w Biuletynie Instytutu Systemów Informatycznych, Nr 8/2011, str. 45-52, 2011 pod tytułem Risk Management for the Needs of Critical Infrastructure.