Kontrola statusu zidentyfikowanych ryzyk dla infrastruktury krytycznej
Przygotowanie odpowiednich działań w obszarze zapobiegania zagrożeniom infrastruktury krytycznej wymaga ich wdrożenia, bieżącego śledzenia ich wykonywania oraz kontroli statusu poszczególnych zidentyfikowanych ryzyk.
Monitorowanie i kontrolowanie ryzyka na potrzeby ochrony infrastruktury krytycznej wymaga utrzymywania odpowiedniej sprawozdawczości przez wszystkie podmioty, w których kompetencjach pozostają określone elementy infrastruktury. Zadanie to sprowadza się do ciągłego sprawdzania, czy identyfikacja i ewaluacja ryzyka przebiega prawidłowo oraz czy stosowane są właściwe środki i rozwiązania, a także czy wystąpiły ryzyka dotychczas niezidentyfikowane. Obserwacja zidentyfikowanych ryzyk, w tym ryzyk rezydualnych i wtórnych, a także wdrażanie planów reakcji na ryzyko i ocena ich skuteczności pozwala ustalić, czy działania zapobiegawcze podejmowane w odpowiedzi na ryzyko przynoszą oczekiwane rezultaty, czy też wymagają przebudowy. Powinno to być składową procesu zarządzania ryzykiem.
Sam proces monitorowania i kontroli charakteryzować się powinien między innymi:
- być poddawany regularnym weryfikacjom i nadzorowi,
- być przeprowadzany okresowo lub „ad hoc”,
- mieć jasno zdefiniowane odpowiedzialności i zakres,
- dostarczać nowe informacje dla oceny ryzyka,
- umożliwiać wykrywanie trendów oceny ryzyka,
- dokumentować rezultaty i umożliwiać raportowanie.
Elementami składowymi monitorowania i kontroli ryzyka są:
- monitorowanie rozumiane jako ustawiczne obserwowanie i sprawdzanie stanu, w celu zidentyfikowania zmian w zakresie danego parametru,
- przegląd rozumiany jako działanie podejmowane w celu określenia przydatności i skuteczności danego parametru,
- audyt rozumiany jako niezależny i dokumentowany proces pozyskiwania obiektywnej oceny zakresu i skuteczności danego parametru,
- raportowania rozumiane jako forma komunikowania stosowana w celu informowania interesariuszy procesu zarządzania ryzykiem o rezultatach danego parametru lub całego procesu.
Rezultatem procesu monitorowania i kontrolowania ryzyka na potrzeby ochrony infrastruktury krytycznej powinna być:
- Ocena wprowadzonych środków pod względem ich skuteczności.
- Lista działań korygujących koniecznych do podjęcia w przypadku stwierdzenia błędów w realizacji ustaleń wynikających z Planów reakcji na ryzyka.
- Propozycja działań związanych z nowo zidentyfikowanymi ryzykami.
Złożoność infrastruktury krytycznej i związane z nią ryzyka, które mają charakter dynamiczny i funkcjonują w zmieniającym się otoczeniu, powodują, że istotnym elementem w procesie ochrony infrastruktury są przyjęte zasady zarządzania ryzykiem. Niezwykle ważne jest przeprowadzanie okresowego ich audytu pod względem zgodności z powszechnie akceptowalnymi standardami, a także możliwości wprowadzenia usprawnień.
Artykuł o podobnej treści ukazał się w Biuletynie Instytutu Systemów Informatycznych, Nr 8/2011, str. 45-52, 2011 pod tytułem Risk Management for the Needs of Critical Infrastructure.
