blog.jpg

Monitorowanie ryzyka na potrzeby ochrony infrastruktury krytycznej

Kontrola statusu zidentyfikowanych ryzyk dla infrastruktury krytycznej

Przygotowanie odpowiednich działań w obszarze zapobiegania zagrożeniom infrastruktury krytycznej wymaga ich wdrożenia, bieżącego śledzenia ich wykonywania oraz kontroli statusu poszczególnych zidentyfikowanych ryzyk.

Monitorowanie i kontrolowanie ryzyka na potrzeby ochrony infrastruktury krytycznej wymaga utrzymywania odpowiedniej sprawozdawczości przez wszystkie podmioty, w których kompetencjach pozostają określone elementy infrastruktury. Zadanie to sprowadza się do ciągłego sprawdzania, czy identyfikacja i ewaluacja ryzyka przebiega prawidłowo oraz czy stosowane są właściwe środki i rozwiązania, a także czy wystąpiły ryzyka dotychczas niezidentyfikowane. Obserwacja zidentyfikowanych ryzyk, w tym ryzyk rezydualnych i wtórnych, a także wdrażanie planów reakcji na ryzyko i ocena ich skuteczności pozwala ustalić, czy działania zapobiegawcze podejmowane w odpowiedzi na ryzyko przynoszą oczekiwane rezultaty, czy też wymagają przebudowy. Powinno to być składową procesu zarządzania ryzykiem.

Sam proces monitorowania i kontroli charakteryzować się powinien między innymi:

  • być poddawany regularnym weryfikacjom i nadzorowi,
  • być przeprowadzany okresowo lub „ad hoc”,
  • mieć jasno zdefiniowane odpowiedzialności i zakres,
  • dostarczać nowe informacje dla oceny ryzyka,
  • umożliwiać wykrywanie trendów oceny ryzyka,
  • dokumentować rezultaty i umożliwiać raportowanie.

Elementami składowymi monitorowania i kontroli ryzyka są:

  • monitorowanie rozumiane jako ustawiczne obserwowanie i sprawdzanie stanu, w celu zidentyfikowania zmian w zakresie danego parametru,
  • przegląd rozumiany jako działanie podejmowane w celu określenia przydatności i skuteczności danego parametru,
  • audyt rozumiany jako niezależny i dokumentowany proces pozyskiwania obiektywnej oceny zakresu i skuteczności danego parametru,
  • raportowania rozumiane jako forma komunikowania stosowana w celu informowania interesariuszy procesu zarządzania ryzykiem o rezultatach danego parametru lub całego procesu.

Rezultatem procesu monitorowania i kontrolowania ryzyka na potrzeby ochrony infrastruktury krytycznej powinna być:

  • Ocena wprowadzonych środków pod względem ich skuteczności.
  • Lista działań korygujących koniecznych do podjęcia w przypadku stwierdzenia błędów w realizacji ustaleń wynikających z Planów reakcji na ryzyka.
  • Propozycja działań związanych z nowo zidentyfikowanymi ryzykami.

Złożoność infrastruktury krytycznej i związane z nią ryzyka, które mają charakter dynamiczny i funkcjonują w zmieniającym się otoczeniu, powodują, że istotnym elementem w procesie ochrony infrastruktury są przyjęte zasady zarządzania ryzykiem. Niezwykle ważne jest przeprowadzanie okresowego ich audytu pod względem zgodności z powszechnie akceptowalnymi standardami, a także możliwości wprowadzenia usprawnień.


Artykuł o podobnej treści ukazał się w Biuletynie Instytutu Systemów Informatycznych, Nr 8/2011, str. 45-52, 2011 pod tytułem Risk Management for the Needs of Critical Infrastructure.

Kontakt

Email: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

UWAGA! Ten serwis używa cookies i podobnych technologii.

Brak zmiany ustawienia przeglądarki oznacza zgodę na to.

Zrozumiałem