متدولوژی شناسایی، رتبه بندی و ارزیابی تهدیدات و خطرات در حوزه زیرساخت ها

متدولوژی شناسایی، رتبه بندی و ارزیابی تهدیدات و خطرات در حوزه زیرساخت ها

 فرمت: PDF    تعداد صفحات: 64

تهیه کننده: دکتر سعید گیوه چی
دانشیار مدیریت بحران و HSE دانشگاه تهران
دبیر انجمن علمی مدیریت و مهندسی HSE ایران

انواع حوادث از نظر منشا وقوع:

1. طبیعی
2. انسان ساخت
   • با منشا غیر عمدی
   • با منشا عمدی

طرح ضرورت بحث:

• اهمیت استراتژیک صنایع کشور و زیرساخت ها
• عدم کفایت الگوها و روش های ارزیابی ریسک ایمنی، بهداشت و محیط زیست در مقابله با تهدیدهای محتمل در این حوزه
• لزوم استقرار رویکرد مدیریتی- سیستمی ارزیابی ریسک دارایی های حیاتی

پبشینه موضوع:

• هلستروم Hellstrom) 2007) رویکرد سیستماتیک برای تعیین آسیب پذیری سیستمی زیرساخت های حیاتی ارائه نموده است.
• بایاردی Baiardi) 2009) بررسی های سلسله مراتبی را به صورت مدیریت ریسک بر پایه مدل برای زیرساخت های حیاتی توسعه داده اند.
• کیم Kim) 2010) سامانه نرم افزاری را مبتنی بر روش ارزیابی آسیب پذیری ارائه شده توسط موسسه نفت ایالات متحده آمریکا تولید نموده اند.
• باجپای و گوپتا Bajpai & Gupta) 2010) در یک مجموعه پژوهش، مدلی نوین به منظور ارزیابی ریسک امنیتی ارائه داده اند که مشتمل بر دو ایده جدول فاکتور ریسک امنیتی ” SRFT ” و روش ماتریس گام به گام ” SMP ” می باشد.

عناصر پایه مدل های شناسایی و رتبه بندی تهدیدات

مفاهیم پایه

پیامد: عبارت است از پتانسیل یک تهدید در اثرگذاری موفقیت آمیز به یک دارایی و یا جامعه

شدت پیامد: شدت پیامدهای یک حادثه که توان به چالش کشیدن دارایی ها و زیرساخت ها را داشته باشد، در تجهیزات عموماً با میزان جراحات و خسارات ناشی از یک حمله موفق، بیان می شود.

درستنمایی: به معنی شانس مورد هدف قرار گرفتن یک دارائی خاص از سوی یک عامل ، مشروط به موفقیت آمیز بودن آن هم در طراحی و هم در اجرا
است و این خود تابعی است از تهدید، آسیب پذیری و جاذبه هدف

درستنمایی تهدید: درستنمایی یک تهدید در دارایی ها تابعی از سه پارامتر ذیل می باشد:

• یزان جذابیت دارایی برای تهدید
• درجه تهدید ایجاد شده
• درجه آسیب پذیری دارایی

جذابیت: جذابیت را می توان یک معیار جایگزین برای درستنمایی یک تهدید تعریف نمود. این پارامتر، تخمینی از میزان درستنمایی مورد تهدید واقع
شدن یک دارایی به عنوان یک هدف می باشد.

تهدید: تهدید تابعی است از نیت، انگیزه، قابلیت و الگوهای عملیاتی شناخته شده یک تهدید می باشد. تهدید تابعی است از انگیزه، توانایی ها و
الگوهای عملیاتی شناخته شدۀ

تهدید به معنی هر نوع شرایط، موقعیت یا رویدادی است که امکان بالقوۀ آسیب رساندن و خسارت به سرمایه ها را داراست. همچنین به توانایی ها و انگیزۀ هماورد در انجام دادن اقداماتی که به سرمایه های با ارزش خسارت وارد کند تهدید اطلاق می گردد

منابع تهدید

1. Terrorists: (International or Domestics)
2. Activists, Pressure groups, single issue zealots
3. Disgruntled employee or Contractors
4. Criminals(Cyber Hacker, Organized, Opportunists)

آسیب پذیری: آسیب پذیری، به هر گونه ضعف در یک دارایی که این امکان را به یک تهدید می دهد تا توانایی آسیب و ایجاد خسارت به یک دارایی، شریان های حیاتی و یا زیرساخت ها را ایجاد نماید، گویند. آسیب پذیری ها می تواند نتیجۀ ضعف در مدیریت، ضعف در امنیت فیزیکی یا شیوه های
عملیاتی باشند.

ریسک: ریسک دارایی تابعی از دو پارامتر زیر می باشد:

• پیامد یک تهدید منجر به حمله موفقیت آمیز در یک دارایی
• درستنمایی یک حمله موفقیت آمیز در یک دارایی

محاسبه ریسک دارایی

در ارزیابی ریسک امنیتی، تمرکز اصلی بر پایه متغیرهایی از قبیل درست نمایی رویداد حمله احتمالی، درست نمایی موفقیت در حمله احتمالی، و پیامد ناشی از تهدیدها طرح ریزی می گردد. یک روش مرسوم برای محاسبه ریسک امنیتی، R، معادله زیر می باشد :

R=T×V×C

برخلاف دیگر مخاطرات، تهدیدهای زیرساختی دارای قصد و نیتی از پیش طراحی شده و غیر قابل پیش بینی می باشد. این گونه تهدیدات، از میان کلیه تاسیسات و دارایی های بالقوه موجود در منطقه مورد مطالعه، یکی از اهداف را مبتنی بر میزان جذابیت استراتژیک آن تعیین می کنند.

ابزارهای شناسایی تهدیدات، خطرات و رتبه بندی آنها

یکی از مهمترین راهکارهای شناسایی مخاطرات و تهدیدها در یک دارایی ها، ارائه ابزاری به منظور ارزیابی ریسک دارایی های می باشد.

ابزارهای اختصاصی: نیاز به ابزار اختصاصی برای شناسایی و رتبه بندی تهدیدات زیرساختها

معرفی روش ها:

1. Security Vulnerability Assessment (SVA)
2. Risk Analysis Methodology for Critical Asset Protection (RAMCAP)
3. Critical Accessibility Recover ability Vulnerability Espy ability (notoriety) Redundancy (CARVER)
4. Maritime Security Risk Assessment Methodology (MSRAM)
5. Transit Risk Assessment Methodology (TRAM)
6. Security Risk Factor Table (SRFT)

توضیحات هر یک از این روش ها را در فایل پیوستی مشاهده کنید.

حتما بخوانید:

⇐  بانک مدیریت ریسک

⇐ استراتژی مدیریت ریسک PPT