Europejska Akademia
Bezpieczeństwa i Ochrony

EUROPEAN SAFETY & SECURITY ACADEMY

biuro@szkoleniazbezpieczenstwa.pl

Data publikacji: 14 stycznia 2021
ANALIZA RYZYKA – JAK DOKUMENTOWAĆ?

Szacowanie i ocena ryzyka jest jednym z istotniejszych działań w systemach zarządzania bezpieczeństwem. Jest fundamentem, dostarczając danych do podejmowania decyzji o poziomie akceptacji ryzyka lub wręcz wycofaniu się z konkretnych działań. W przypadku zaakceptowania poziomu wskazuje, jakie kroki należy podjąć w celu zmniejszenia ryzyka (minimalizacja podatności, oddziaływania na zagrożenie, czy mitygacja ryzyka). W zarządzaniu ryzykiem nazywa się to wybór strategii postępowania z ryzykiem.

Już ten krótki wstęp pokazuje, jak wiele informacji jest przetwarzanych w trakcie procesu. Niektóre z nich są wręcz kluczowe do tego, aby wykazać przed właścicielami, organami nadzorczymi lub nawet sądami poprawność realizowanych działań i podejmowanych środków zaradczych, nazywanych też środkami kontroli ryzyka. Właściwe ich udokumentowanie jest jednym z narzędzi, tzw. rozliczalności opisanej w RODO. Inne przepisy, mimo braku stosowania tej nazwy, zawierają identyczne wymagania, nazywane stosowaniem odpowiednich czy adekwatnych środków ochrony.

Klasyfikacja dokumentacji

Rodzajów klasyfikacji dokumentacji jest wiele. W normach ISO wcześniejszych wydań dzielona ona była na dokumentację systemową i zapisy. Obecnie wiele z rozwiązań mówi tylko o tzw. udokumentowanej informacji (ang. records). Zakres, tj. zawartość, rodzaje dokumentów itp., jakie należy przechowywać, aby udowodnić skuteczność systemów zarządzania, pozostawiono do decyzji osób zarządzających bezpieczeństwem. W naszych działaniach pozostaliśmy przy podziale na:

  • Dokumentację systemową – czyli taką, która określa ramy systemu, wskazuje sposób i zasady wykonywania zadań, podział obowiązków.
  • Zapisy – dokumentujące wykonanie działań opisanych w dokumentacji systemowej, np. notatki, protokoły (w tym protokoły testów ochrony). WAŻNE: w przypadku zapisów jako dokumentacji potwierdzającej nie ma wymagania dla tworzenia odrębnych wzorów dokumentów. E-mail zawierający wymagane informacje będzie równie odpowiedni, co notatka służbowa wykonana na przygotowanym druku.

Struktura dokumentacji

Drugi podział związany jest ze strukturą dokumentacji w odniesieniu do poziomów zarządzania. Dla przypomnienia, organizacje, co do zasady mają co najmniej trzy szczeble: strategiczny, taktyczny i operacyjny. Analogicznie do tych poziomów, dokumentację dzielimy na:

  • Strategiczną – dotyczącą planów długofalowych, kierunku działania firmy. Tutaj najczęściej mamy do czynienia z misją i wizją wyrażonymi następnie w politykach (deklaratywnych), wskazujących też na główne cele strategiczne. Uzupełnieniem jest strategia, również jako plan długofalowy (powyżej 1 roku), wskazujący, w jaki sposób cele strategiczne będą realizowane.
  • Taktyczną – będącą dokumentacją organizującą system. Na tym poziomie są to wszelkie plany, instrukcje i polityki, w których przypisane zostają zadania, określony sposób wykonania zadań, wskazane narzędzia oraz sposób dokumentowania czynności. Ważnym aspektem jest realizacja postanowień zawartych w politykach i strategiach.
  • Operacyjną — będącą dokumentacją, tzw. day by day, czyli użytku codziennego. W tej dokumentacji znajdują się zarówno dokumenty określające wykonywanie konkretnych działań (instrukcje pracy, obsługi, działania), jak i zapisy, które potwierdzają te działania. Zgodnie z zasadami, te ostatnie powinny wynikać z procedur i instrukcji wykonawczych.

Nadzór nad dokumentami

Ostatni, istotny dla niniejszego artykułu podział to dokumenty nadzorowane i nienadzorowane.

  • Dokumenty nadzorowane (informacje nadzorowane) to takie, które dla potrzeb organizacji, prawnych zgodności (compliance) utrzymywane są w określonych formatach i utrzymanie to podlega nadzorowi (sprawdzenie poprawności przechowywania danych w kopiach zapasowych czy archiwach). W tej grupie są dokumenty systemowe, dla których celem nadzoru jest zapewnienie, że wykonawcy zadań pracują na właściwych podstawach (aktualnych wersjach procedur, instrukcji czy polityk). Dla dokumentów będących zapisami (rejestracją działań) istotnym elementem nadzoru jest poprawność zapisu i jego dostępność oraz poufność (trzy podstawowe atrybuty informacji, z tzw. triady CIA).
  • Dokumenty nienadzorowane, to dokumenty o charakterze pomocniczym, wytwarzane w trakcie realizacji zadań w formie notatek, szkiców i innych. UWAGA: nienadzorowany w ujęciu systemowym, nie w ujęciu bezpieczeństwa informacji. Do dokumentów nienadzorowanych stosuje się wszelkie zasady bezpieczeństwa informacji określone w organizacji, a wynikające z wartości informacji i danych zapisanych na nich.

Przebieg procesu szacowania i oceny ryzyka

Tytułem przypomnienia, pełny proces szacowania i oceny ryzyka obejmuje działania związane z zagrożeniami oraz skutkami zdarzeń, wywołanych zagrożeniami. Proces ten obejmuje:

  • Identyfikację zasobów i ich wartościowanie, czyli przypisywanie ważności z punktu widzenia celu prowadzonej analizy.
  • Identyfikację zagrożeń występujących w środowisku, w którym wykorzystywane są zasoby do realizacji procesów organizacji wraz z analizą siły oddziaływania oraz prawdopodobieństwa wystąpienia.
  • Identyfikację podatności, czyli słabości zasobów, procesów, zabezpieczeń (jako zasobów), na zagrożenia. Podatności z reguły szacowane są w odniesieniu do wrażliwości zasobu na zagrożenie wraz z tzw. czasem ekspozycji.

Tu kończy się analiza zagrożeń, która dostarcza danych wejściowych do szacowania i oceny ryzyka jako oszacowania skutku. Skutek jest wywoływany przez zagrożenie wykorzystujące podatność z określoną siłą oddziaływania i może się wydarzyć w określonym czasie.

Szacowanie i ocena ryzyka odbywają się również w dwóch parametrach:

  • Wpływu na podmiot poddawany ocenie. Co do zasady w systemach opartych o wymagania prawne są to prawa i wolności osoby lub zasobów wspólnych. W RODO (w związku z przetwarzaniem informacji), w BHP i ochronie przeciwpożarowej jest to prawo do zdrowia i życia. W przypadku ochrony środowiska jest to ochrona zasobów naturalnych i środowiska przed poważnymi awariami przemysłowymi (dyrektywa SEVESO).
  • Prawdopodobieństwa wystąpienia tego wpływu. WAŻNE: prawdopodobieństwo to nie może być wyższe niż prawdopodobieństwo wystąpienia incydentu (materializacji ryzyka).

Dokumentacja szacowania i oceny ryzyka

Poniżej przedstawione zostały podstawowe dokumenty wraz ze wskazaniem ich celu.

Polityka bezpieczeństwa (deklaratywna) lub dokument podobny, który podpisywany jest przez najwyższy zarząd. Celem jest umocowanie szacowania i oceny ryzyka oraz powiązanie z celami strategicznymi bezpieczeństwa w organizacji. Najczęściej szacowanie i ocena ryzyka wskazane jest jako drugie najważniejsze źródło wymagań wobec systemu zarządzania bezpieczeństwem (z trzech standardowo występujących).

Dokument: strategiczny, systemowy i nadzorowany.

Procedura wykonania szacowania i oceny ryzyka jako opis przebiegu procesu od inicjacji, aż do zatwierdzenia proponowanych działań. W wielu przypadkach wskazuje również na zasady korzystania z informacji zawierających analizy zagrożeń (podatność zasobów i procesów, siła, prawdopodobieństwo wystąpienia) wykonywanych przez branżystów, np. Inspektora Ochrony PPOŻ., kwalifikowanych pracowników ochrony lub zabezpieczenia technicznego, osoby opracowujące ocenę ryzyka zawodowego czy specjalistów ochrony danych osobowych lub informacji.

Dokument: taktyczny, systemowy i nadzorowany.

W przypadku, gdy w organizacji nie występują niektóre działania (np. nie ma profesjonalnej usługi ochrony osób i mienia) procedura powinna zostać poszerzona o sposób gromadzenia informacji, klasyfikacji i przeprowadzenia analizy zagrożeń dla danego działu. Ważne jest, aby analizę danego obszaru wykonała osoba posiadająca kwalifikacje w danym obszarze lub doświadczenie tak, aby rzeczywiście można było mówić o analizie zagrożeń. Informacje o sposobie wykonania, wymaganiach kwalifikacyjnych można zawrzeć w krótkiej instrukcji (maksymalnie 2 strony), która pozwoli na powtarzalność działania w kolejnym okresie (szacowanie i ocena ryzyka jako proces powinna być powtarzana w określonym czasie). Instrukcja również jest dokumentem systemowym, taktycznym i nadzorowanym.

Dokumenty potwierdzające wykonanie szacowania i oceny ryzyka są podstawą do wykazania rozliczalności i poprawności wykonania procesu. Ważne jest, aby udokumentować zarówno przebieg samej analizy (poprawność organizacyjna, na zgodność z przyjętymi zasadami), jak i poprawność zawodową.

  • Poprawność organizacyjna wykazana może być przez korespondencję mailową, notatki ze spotkań i tabele uzgodnień (o ile są formalne). Celem jest wskazanie, że wszystkie role, funkcje, stanowiska, komórki związane z danym obszarem ryzyka w organizacji wzięły udział w procesie szacowania i oceny.
  • Poprawność zawodowa (fachowa) oznacza, że zagrożenia i potencjalne skutki zostały rozpatrzone i ocenione przez osoby posiadające stosowne doświadczenie i wiedzę. Potwierdzeniem mogą być zapisy w postaci e-maili, notatek, ale i wykaz dokumentów systemowych czy innych zapisów, przykładowo przeglądy budowlane (zagrożenia fizyczne), Instrukcja Bezpieczeństwa Pożarowego (zagrożenia pożarem oraz inne miejscowe), plan ochrony (zagrożenie kradzieżą lub wejściem osób nieuprawnionych). W obszarze IT są to, np. analizy incydentów, raporty branżowe. Warto też korzystać z omówień incydentów i zdarzeń, zarówno własnych, jak i innych firm.

Podsumowanie

Szacowanie i ocena ryzyka jest jednym z najistotniejszych procesów w zarządzaniu bezpieczeństwem. Jego wynik, jako wskazówki, powinny być również udokumentowane; niestety sprawia to dość dużo problemów. O ile plany postępowania, czy też plany ochrony, polityki bezpieczeństwa są opisane dość dobrze, o tyle częstym jest brak ustalenia celów dla zabezpieczeń w nich opisanych. Wygląda to w ten sposób, że zespół dokonuje szacowania i oceny ryzyka, następnie tworzone są dokumenty systemowe, ale dość często brakuje wskazania, które zabezpieczenie oddziałuje na dany element.

Czy są to zabezpieczenia:

  • Zwiększające odporność (zmniejszenie podatności), np. poprzez stosowanie środków ochrony indywidualnej (BHP).
  • Ograniczające możliwość wystąpienia zagrożenia, np. ograniczenie osób mających dostęp (ochrona fizyczna).
  • Ograniczenie siły zagrożenia, np. obniżenie ilości substancji niebezpiecznej (zmiana systemu zarządzania stanami magazynowymi).
  • Ograniczające możliwość wystąpienia skutku, np. szyfrowanie danych na nośnikach wymiennych.
  • Zmniejszające siłę skutku, np. pseudonimizacja.

Brak wskazania celu zabezpieczenia praktycznie uniemożliwia wykazanie adekwatności stosowanych zabezpieczeń. Idąc dalej w proces zarządzania bezpieczeństwem, trudno jest zaprojektować i zaplanować testowanie zabezpieczeń, a co najmniej planowanie takie wymaga dodatkowej pracy.

AUTOR: Grzegorz Krzemiński
Zajmuje się bezpieczeństwem od ponad 25 lat. Od 20 szkoli. Zrealizował ponad 650 projektów w bezpieczeństwie w Polsce i Wielkiej Brytanii. Autor standardów i metodyk zarządzania bezpieczeństwem, audytu, szacowania i oceny ryzyka. Preferuje holistyczne podejście do bezpieczeństwa, posiadając doświadczenie w RODO, ochronie ppoż, ATEX, bezpieczeństwie fizycznym oraz zarządzaniu ciągłością działania i zarządzaniu kryzysowym.

PODOBNE ARTYKUŁY:

NAJBLIŻSZE SZKOLENIA