Podejmowanie działań związanych z ryzykiem dla infrastruktury krytycznej
Analiza ryzyka dostarczyła materiał wspierający podejmowanie decyzji odnośnie priorytetów postępowania w stosunku do określonych zdarzeń. Podejmując konkretne działania uwzględnia się szerszy kontekst ryzyka. Dotyczy to okoliczności wpływu na organy, które nie ponoszą bezpośrednich odpowiedzialności ani korzyści z podejmowanych ryzyk w stosunku do organu bezpośrednio odpowiedzialnego za ryzyko, jak i rezultat działania będący skutkiem podejmowanej decyzji. Może to w szczególności doprowadzić do decyzji o niepostępowaniu z ryzykiem w jakikolwiek sposób poza stosowaniem nad nim tylko środków kontrolnych.
Kluczowym etapem procesu zarządzania ryzykiem jest planowanie reakcji na ryzyko pozwalające wskazać warianty postępowania w zakresie wyeliminowania zagrożeń i zwiększenia potencjalnych korzyści. Proces ten pokazuje, w oparciu o zdefiniowane w fazie planowania kategorie reakcji na ryzyko, możliwe reakcje poprzez wskazanie odpowiednich działań oraz przypisuje podmioty odpowiedzialne za przeprowadzenie akcji związanych z ryzykami.
Zaplanowanie reakcji na ryzyko na potrzeby ochrony infrastruktury krytycznej powinno uwzględniać taki plan postępowania, by podjęte działania były jak najbardziej skuteczne. Planowane reakcje powinny być proporcjonalne do skutków wystąpienia niekorzystnych zjawisk, likwidować (lub niwelować) wpływy danego zagrożenia w sposób kosztowo efektywny oraz być realizowane terminowo. Wymaga to zaangażowania wielu instytucji, w których posiadaniu są poszczególne elementy infrastruktury.
Głównym rezultatem etapu planowania reakcji na ryzyko na potrzeby ochrony infrastruktury krytycznej powinno być przygotowanie tzw. Planu reakcji na ryzyko wraz z listą ryzyk rezydualnych i wtórnych, tzn. takich, które pozostają nawet po wdrożeniu strategii redukcji, eliminacji, przeniesienia, akceptacji, czy też współdzielenia ryzyka. Plan reakcji na ryzyko powinien uwzględniać wyniki analizy jakościowej i ilościowej ryzyk oraz zawierać ustalenia dotyczące ich dysponentów wraz z opisem działań stanowiących odpowiedź na dane ryzyko. Do każdego z działań powinien zostać określony termin i środki finansowe, w tym inne zasoby niezbędne do ich wykonania. W przypadku akceptacji danego ryzyka powinny zostać określone plany awaryjne.
Planowanie reakcji na ryzyko sprowadza się więc do opracowania planu postępowania z ryzykiem, które obejmować powinno:
- Wybór sposobu wpływu na ryzyko.
- Wybór trybu wdrażania danego sposobu, w tym wybór lub modyfikacja środków kontroli.
- Przygotowanie i wdrożenie planu postępowania z ryzykiem.
Wybór sposobu wpływu na ryzyko jest procesem cyklicznym i obejmuje:
- ocenę postępowania z ryzykiem,
- wyznaczenie tolerowanego poziomu ryzyka,
- ocenę skuteczności danego sposobu postępowania.
Wybór trybu wdrażania danego sposobu postępowania sprowadza się do analizy koszów i nakładów niezbędnych do wdrożenia danego trybu w odniesieniu do uzyskiwanych korzyści. Bardzo ważne jest by w każdym z analizowanych trybów uwzględniać wymagania prawne oraz inne regulacje włączając w to odpowiedzialność społeczną i wpływ na ochronę środkowa naturalnego. Samo wdrożenie danego trybu odbywać się powinno zgodnie z planem postępowania z ryzykiem, w którym jasno zostaną określone kompetencje i odpowiedzialności w stosunku do danego wdrożenia.
Przygotowanie i wdrożenie planu postępowania z ryzykiem ma na celu udokumentowanie sposobu wdrażania wybranych trybów postępowania. Powinny one zawierać w szczególności:
- uzasadnienie wyboru wraz z oczekiwanymi korzyściami,
- wykaz osób i odpowiedzialności,
- wykaz mierników wraz z wartościami granicznymi,
- sposób komunikowania się oraz zasady monitorowania,
- wymagane terminy i harmonogram.
Wskazane jest by plany postępowania powiązane były z procesami zarządzania danego organu odpowiedzialnego za cały proces.
Artykuł o podobnej treści ukazał się w Biuletynie Instytutu Systemów Informatycznych, Nr 8/2011, str. 45-52, 2011 pod tytułem Risk Management for the Needs of Critical Infrastructure.