متدولوژی شناسایی، رتبه بندی و ارزیابی تهدیدات و خطرات در حوزه زیرساخت ها

متدولوژی شناسایی، رتبه بندی و ارزیابی تهدیدات و خطرات در حوزه زیرساخت ها

 فرمت: PDF    تعداد صفحات: 64

تهیه کننده: دکتر سعید گیوه چی
دانشیار مدیریت بحران و HSE دانشگاه تهران
دبیر انجمن علمی مدیریت و مهندسی HSE ایران

انواع حوادث از نظر منشا وقوع:

1. طبیعی
2. انسان ساخت
   • با منشا غیر عمدی
   • با منشا عمدی

طرح ضرورت بحث:

• اهمیت استراتژیک صنایع کشور و زیرساخت ها
• عدم کفایت الگوها و روش هاي ارزیابي ریسک ایمني، بهداشت و محیط زیست در مقابله با تهدیدهاي محتمل در این حوزه
• لزوم استقرار رویکرد مدیریتي- سیستمي ارزیابي ریسک دارایي هاي حیاتی

پبشینه موضوع:

• هلستروم Hellstrom) 2007) رویکرد سیستماتیک براي تعیین آسیب پذیري سیستمي زیرساخت هاي حیاتي ارائه نموده است.
• بایاردي Baiardi) 2009) بررسي هاي سلسله مراتبي را به صورت مدیریت ریسک بر پایه مدل براي زیرساخت هاي حیاتي توسعه داده اند.
• کیم Kim) 2010) سامانه نرم افزاری را مبتنی بر روش ارزیابی آسیب پذیری ارائه شده توسط موسسه نفت ایالات متحده آمریکا تولید نموده اند.
• باجپای و گوپتا Bajpai & Gupta) 2010) در یک مجموعه پژوهش، مدلی نوین به منظور ارزیابی ریسک امنیتی ارائه داده اند که مشتمل بر دو ایده جدول فاکتور ریسک امنیتی ” SRFT ” و روش ماتریس گام به گام ” SMP ” می باشد.

عناصر پایه مدل های شناسایی و رتبه بندی تهدیدات

مفاهیم پایه

پیامد: عبارت است از پتانسیل یک تهدید در اثرگذاری موفقیت آمیز به یک دارایی و یا جامعه

شدت پیامد: شدت پیامدهاي یک حادثه که توان به چالش کشیدن دارایي ها و زیرساخت ها را داشته باشد، در تجهیزات عموماً با میزان جراحات و خسارات ناشي از یک حمله موفق، بیان مي شود.

درستنمایی: به معنی شانس مورد هدف قرار گرفتن یک دارائی خاص از سوی یک عامل ، مشروط به موفقیت آمیز بودن آن هم در طراحی و هم در اجرا
است و این خود تابعی است از تهدید، آسیب پذیری و جاذبه هدف

درستنمایی تهدید: درستنمایي یک تهدید در دارایي ها تابعي از سه پارامتر ذیل مي باشد:

• یزان جذابیت دارایي برای تهدید
• درجه تهدید ایجاد شده
• درجه آسیب پذیری دارایی

جذابیت: جذابیت را می توان یک معیار جایگزین برای درستنمایی یک تهدید تعریف نمود. این پارامتر، تخمینی از میزان درستنمایی مورد تهدید واقع
شدن یک دارایی به عنوان یک هدف می باشد.

تهدید: تهدید تابعی است از نیت، انگیزه، قابلیت و الگوهای عملیاتی شناخته شده یک تهدید می باشد. تهدید تابعی است از انگیزه، توانایی ها و
الگوهای عملیاتی شناخته شدۀ

تهدید به معنی هر نوع شرایط، موقعیت یا رویدادی است که امکان بالقوۀ آسیب رساندن و خسارت به سرمایه ها را داراست. همچنین به توانایی ها و انگیزۀ هماورد در انجام دادن اقداماتی که به سرمایه های با ارزش خسارت وارد کند تهدید اطلاق می گردد

منابع تهدید

1. Terrorists: (International or Domestics)
2. Activists, Pressure groups, single issue zealots
3. Disgruntled employee or Contractors
4. Criminals(Cyber Hacker, Organized, Opportunists)

آسیب پذیری: آسیب پذیری، به هر گونه ضعف در یک دارایی که این امکان را به یک تهدید می دهد تا توانایی آسیب و ایجاد خسارت به یک دارایی، شریان های حیاتی و یا زیرساخت ها را ایجاد نماید، گویند. آسیب پذیری ها مي تواند نتیجۀ ضعف در مدیریت، ضعف در امنیت فیزیکي یا شیوه های
عملیاتي باشند.

ریسک: ریسک دارایي تابعي از دو پارامتر زیر مي باشد:

• پیامد یک تهدید منجر به حمله موفقیت آمیز در یک دارایي
• درستنمایي یک حمله موفقیت آمیز در یک دارایي

محاسبه ریسک دارایی

در ارزیابي ریسک امنیتي، تمرکز اصلي بر پایه متغیرهایي از قبیل درست نمایي رویداد حمله احتمالي، درست نمایي موفقیت در حمله احتمالي، و پیامد ناشي از تهدیدها طرح ریزی مي گردد. یک روش مرسوم برای محاسبه ریسک امنیتي، R، معادله زیر مي باشد :

R=T×V×C

برخلاف دیگر مخاطرات، تهدیدهای زیرساختي دارای قصد و نیتي از پیش طراحي شده و غیر قابل پیش بیني مي باشد. این گونه تهدیدات، از میان کلیه تاسیسات و دارایي های بالقوه موجود در منطقه مورد مطالعه، یکي از اهداف را مبتني بر میزان جذابیت استراتژیک آن تعیین مي کنند.

ابزارهای شناسایی تهدیدات، خطرات و رتبه بندی آنها

یکي از مهمترین راهکارهای شناسایي مخاطرات و تهدیدها در یک دارایي ها، ارائه ابزاری به منظور ارزیابي ریسک دارایي های مي باشد.

ابزارهای اختصاصی: نیاز به ابزار اختصاصی برای شناسایی و رتبه بندی تهدیدات زیرساختها

معرفی روش ها:

1. Security Vulnerability Assessment (SVA)
2. Risk Analysis Methodology for Critical Asset Protection (RAMCAP)
3. Critical Accessibility Recover ability Vulnerability Espy ability (notoriety) Redundancy (CARVER)
4. Maritime Security Risk Assessment Methodology (MSRAM)
5. Transit Risk Assessment Methodology (TRAM)
6. Security Risk Factor Table (SRFT)

توضیحات هر یک از این روش ها را در فایل پیوستی مشاهده کنید.

حتما بخوانید:

⇐  بانک مدیریت ریسک

⇐ استراتژی مدیریت ریسک PPT