Лекция 9. Блокирование техносферных угроз.
Опасность–явления, процессы, объекты, свойства предметов, способные в определенных условиях нанести ущерб здоровью человека и угрожать его жизни.
Опасностями насыщены все природные, техносферные и социальные системы. Опасности подразделяются на явные и неявные (скрытые, непознанные), носят потенциальный характер, их актуализация происходит при определенных условиях именуемыми причинами. В случаях, когда эти причины приводят к возможности нарушения условий устойчивого функционирования системы, опасности перерастают в угрозы. Количественной мерой вероятности перерастания опасности в угрозу является риск.
Благодаря глубокому исследованию риска оценка риска помогает лицам, принимающим решения, выбирать адекватные и эффективные средства управления риском. Оценка риска является основой для принятия решений по обработке риска. Выходные данные процесса оценки риска являются входными данными процессов принятия решений.
Оценка риска является процессом, объединяющим идентификацию, анализ риска и сравнительную оценку риска.
Идентификация риска — это процесс определения элементов риска, составления их перечня и описания каждого из элементов риска.
Целью идентификации риска является составление перечня источников риска и событий, которые могут повлиять на достижение каждой из установленных целей организации или сделать выполнение этих целей невозможным.
Методы идентификации риска могут включать в себя:
- методы оценки риска на основе документальных свидетельств, примерами которых являются анализ контрольных листов, анализ экспериментальных данных, а также данных и событий, произошедших в прошлом;
- подход, в соответствие с которым группа экспертов следует установленному процессу идентификации риска посредством структурированного множества подсказок или вопросов;
- индуктивные методы, такие как HAZOP.
Для повышения точности и полноты идентификации риска могут быть использованы различные вспомогательные методы, например метод мозгового штурма и метод Дельфи.
Независимо от фактически используемых методов при идентификации риска важно учитывать человеческие и организационные факторы. Отклонения, вызванные воздействием человеческих и организационных факторов, а также опасные события, связанные с информационными технологиями, должны быть учтены в процессе идентификации риска.
Анализ риска включает анализ вероятности и последствий идентифицированных опасных событий с учетом наличия и эффективности применяемых способов управления. Данные о вероятности событий и их последствиях используют для определения уровня риска.
Анализ риска обычно включает оценку диапазона возможных последствий события, ситуации или обстоятельств и соответствующих им вероятностей для определения уровня риска.
Методы, используемые при анализе риска, могут быть качественными, количественными или смешанными. Степень глубины и детализации анализа зависит от конкретной ситуации, доступности достоверных данных и потребностей организации, связанных с принятием решений. Некоторые методы и степень детализации анализа могут быть установлены в соответствии с правовыми и обязательными требованиями.
При качественной оценке риска определяют последствия, вероятность и уровень риска по шкале «высокий», «средний» и «низкий»; оценка последствий и вероятности может быть объединена; сравнительную оценку уровня риска в этом случае проводят в соответствии с качественными критериями.
При количественном анализе оценивают практическую значимость и стоимость последствий, их вероятности и получают значение уровня риска в определенных единицах, установленных при разработке области применения менеджмента риска. Полный количественный анализ не всегда может быть возможен или желателен из-за недостаточной информации об анализируемой системе, видах деятельности организации, недостатка данных, влияния человеческого фактора и т. п. или потому, что такой анализ не требуется, или трудозатраты на количественный анализ слишком велики. В таком случае ранжирование рисков высококвалифицированными специалистами может быть более эффективно.
В случае применения количественного анализа необходимо помнить, что уровни вычисленного риска являются только оценками.
Уровни риска должны быть выражены в соответствующих терминах для конкретного вида риска в наиболее удобной форме. В некоторых случаях значение риска может быть выражено в виде распределения вероятностей диапазона последствий.
Сравнительная оценка риска включает в себя сопоставление уровня риска с критериями риска, установленными при определении области применения менеджмента риска, для определения типа риска и его значимости.
Сравнительная оценка риска использует информацию о риске, полученную при анализе риска. Результаты сравнительной оценки риска используют для принятия решений о будущих действиях.
Этические, юридические, финансовые и другие вопросы, а также восприятие риска организацией могут повлиять на принятие решения.
Принимаемые решения могут касаться таких вопросов как:
- необходимость обработки риска;
- приоритеты обработки риска;
- необходимость выполнения действий;
- выбор способа обработки риска.
Характер принимаемых решений и используемые критерии при принятии решений устанавливаются при определении области применения, однако на этапе сравнительной оценки риска они должны быть повторно и более подробно рассмотрены с точки зрения уже полученных данных об идентифицированных опасностях и риске.
Наиболее простая структура для определения критериев риска — это установление одного уровня, разделяющего опасности и риск, требующие обработки, от тех, которые подобных действий не требуют.
Применение такой структуры приводит к простым и понятным результатам, однако не отражает неопределенность, присущую оценке риска и установленному пограничному уровню риска.
Решение о необходимости и способах обработки риска зависит от затрат и преимуществ принятия риска и улучшения управления риском.
В соответствии с общим подходом следует разделить риск на три группы.
a) Высшая группа, в которой уровень риска является недопустимым, безотносительно преимуществ принятия риска и доходов, получаемых от деятельности организации, обработка риска является необходимой независимо от затрат.
b) Средняя группа («серая» область), для которой затраты и преимущества принятия риска следует учитывать, а возможности соотносить с последствиями.
c) Низшая группа, в которой уровень риска незначителен или настолько мал, что необходимость в обработке риска отсутствует.
Постановка задачи: что или кого от чего или от кого необходимо защитить.
Методология блокирования техносферных угроз предполагает после проведения этапов идентификации опасностей, анализа рисков и сравнительной оценки рисков оценить вероятности перерастания опасностей в угрозы. Далее – изучение существующей системы защиты от угроз, анализ уровня защиты и при необходимости предложение дополнительных мер защиты.