Katarína Kampová
Žilinská univerzita v Žiline
Fakulta špeciálneho inžinierstva
Katedra bezpečnostného
manažmentu
Ul. 1 mája 32
010 26 Žilina
Slovenská republika
Email: Katarina.Kampová@fsi.uniza.sk
Josef Reitšpis
Žilinská univerzita v Žiline
Fakulta špeciálneho inžinierstva
Katedra bezpečnostného
manažmentu
Ul. 1 mája 32
010 26 Žilina
Slovenská republika
Email: Josef.Reitspis@fsi.uniza.sk
Abstrakt
Článok pojednáva oprístupe k návrhu bezpečnostných projektov, ktorých cieľom je ochrana objektov proti rizikám, ktorých zdrojom je cieľavedome konajúca fyzická osoba. Poukazuje na význam implementácie princípov projektového manažmentu vrámci oblasti ochrany objektov ataktiež poukazuje na možnosti použitia normy ISO 31000 Manažérstvo rizika pri samotnom návrhu a realizácii bezpečnostných projektov.
Kľúčové slová: riziko, bezpečnosť, ochrana, objekt
Abstract
The article deals with an approach to the design of security projects. The purpose of the projects is the protection of objects against risks resulting from a person acting purposefully. It highlights the importance of implementation of project management principles within the objects protection domain, and it also points out the possibilities of employing the ISO 31000 Risk management within the design and implementation of security projects.
Key words: risk, security, protection, object
Úvod
Zmeny vo vonkajšom avnútornom bezpečnostnom prostredí sa premietajú nielen do procesu vytvárania afungovania danej spoločnosti, ale prirodzene majú svoje dopady ina koncepciu jej ochrany. Táto skutočnosť zvýrazňuje dôležitosť prípravy podkladov a riešenia azefektívňovania rozhodovacích procesov súvisiacich súlohami, ktoré je potrebné zabezpečiť aj pri ochrane objektov vybraných subjektov. Takto stanovené úlohy je potrebné riešiť ako komplexný súbor, pričom toto riešenie musí rešpektovať postupnosť určitých krokov vymedzených všeobecnými zásadami projektového manažmentu a aplikáciu týchto zásad do bezpečnostných projektov.
Vymedzenie všeobecných zásad projektového manažmentu
Vychádzame zpredpokladu, že projektový manažment je spôsob riadenia akoordinácie ľudských amateriálnych zdrojov počas životnosti projektu pri použití moderných techník riadenia na dosiahnutie vopred určených cieľov vdanom rozsahu, nákladoch, čase, kvalite aspokojnosti účastníkov projektu[4]. Zcharakteru procesu ochrany objektov vyplýva, že jeho súčasťou je i tvorba plánov, ktorá vyžaduje komplexný prístup, ktorý pozostáva zfáz ako príprava diela, realizácia, prevádzka, hodnotenie. Znadväznosti jednotlivých krokov projektového procesu vyplýva jednak určitá časová následnosť azároveň tiež časové obmedzenie, označované tiež ako životnosť projektu. Vodbornej literatúre je viacero prístupov kdeleniu celého časového obdobia projektu (fázy, etapy, apod.). Vreálnom procese projektovania je trvanie jednotlivého kroku potrebné prispôsobiť konkrétnej situácii, ato podľa rozsiahlosti atechnickej zložitosti vlastného projektového diela. Postupnosť riešenia a systematický prístup umožňuje určitú variantnosť aoptimalizáciu výsledného riešenia. Pri konkrétnom projektovaní je možné zčasového hľadiska rozdelenie na štyri fázy atieto, každú jednu, riešiť vrovnakých troch etapách Obrázok 1.
Obrázok 1 Systematický prístup riešenia projektu [5]
Postupnosť projektovania je možné tiež chápať, ako odpovede na otázky:
Pre životnosť projektu je potrebné zohľadniť vývojové trendy vdanej oblasti (napr. technológie, zdroje, environmentálny faktor, odbyt atď.). Táto skutočnosť sleduje predovšetkým časové obdobie funkčnosti výsledku projektu zpohľadu technického amorálneho starnutia. Jednotlivé faktory apriebeh životného cyklu je znázornený na obrázku2.
Obrázok 2 Životný cyklus projektu [3]
Aplikácia zásad projektového manažmentu do bezpečnostných projektov
Cieľom bezpečnostného projektu je vytvorenie takého stavu, vktorom sú prostredníctvom ochranných opatrení minimalizované negatívne vplyvy na chránený priestor alebo objekt. Takýto stav má potom charakter bezpečného prostredia. Skĺbenie zásad projektového manažmentu s tvorbou bezpečnostných projektov je možné vyjadriť schémou uvedenou na obrázku 3.
Obrázok 3 Obsah apostupnosť projektovania bezpečnosti [3]
Vsúčasnosti neexistuje všeobecne záväzný predpis, resp. technická norma, ktorá by sa komplexne zaoberala problematikou bezpečnostných projektov ochrany objektov. Existujúce predpisy sú poňaté buď príliš všeobecne alebo riešia iba parciálne časti problematiky (napr. posudzovanie rizík, spôsob rozmiestnenia ochranných opatrení, elektroinštalácie, prielomové odolnosti, grafické spracovanie výkresovej dokumentácie atď.) anajmä nie sú zamerané na systematické uplatňovanie princípov projektovania bezpečnosti [6]. Pri hľadaní komplexného nástroja použiteľného pri tvorbe arealizácii bezpečnostných projektov ochrany objektov je možné vychádzať zúčelu, pre ktorý sa bezpečnostné projekty navrhujú. Týmto účelom je vytvorenie bezpečného prostredia, vktorom sú minimalizované všetky negatívne vplyvy na chránený objekt. Inými slovami, bezpečnostný projekt je zameraný na manažment rizík, ktoré ovplyvňujú bezpečnosť chráneného objektu. Pri návrhu arealizácii bezpečnostného projektu je preto možné vychádzať zo zásad a všeobecného návodu na manažérstvo rizika. Komplexné popísanie zásad, rámca aprocesu manažmentu rizík poskytuje v súčasnosti norma ISO 31000 Manažérstvo rizika.
Zámerom aplikovania zásad manažérstva rizík podľa normy ISO 31000 pri tvorbe arealizácii bezpečnostných projektov ochrany objektov je systematické prispôsobenie politík, postupov a zavedenej praxe, tak aby bola zaistená atrvalo udržovaná bezpečnosť chráneného objektu, resp. záujmu. Pre naplnenie tohto zámeru norma poskytuje nasledovný štandardný proces manažmentu rizík (Obrázok 4):
Obrázok 4 Proces manažmentu rizík [2]
Medzi schémou projektovania bezpečnosti (Obrázok 3) aprocesom manažmentu rizík (Obrázok 4) je priamy súvis. Schéma predstavuje konkrétny spôsob zavedenia jednotlivých krokov procesu manažmentu rizík do prostredia ochrany objektu, pri ktorom je proces využitý ako nástroj na vytvorenie bezpečného prostredia. Táto súvislosť medzi schémou aprocesom nám umožňuje interpretovať jednotlivé kroky procesu manažmentu rizík zpohľadu cieľov ochrany objektov.
Obsahom kroku vytváranie súvislostí (Obrázok 3) je identifikácia kontextu, podmienok aokolností ochrany, rovnako ako aj nastavenie parametrov a hraníc vymedzujúcich jednoznačný postoj subjektu ochrany kriziku aaktivitám manažmentu rizík. Chránený subjekt prostredníctvom vytvárania súvislostí vyjadruje svoje ciele a určuje vonkajšie a vnútorné parametre, ktoré majú byť zohľadnené pri manažmente rizík a nastavuje kritéria pre ohodnotenie významnosti rizík. Súvislosti ochrany daného subjektu sa môžu meniť podľa aktuálnej situácie a potrieb subjektu ochrany. Preto je potrebné v tomto kroku definovať rozsah a hĺbku činností manažmentu rizík, ktoré je potrebné realizovať, vrátane špecifických výnimiek. Súvislosti manažmentu rizík tiež zahŕňajú stanovenie metodiky posudzovania rizík a určenie spôsobu hodnotenia výkonnosti rámca manažmentu rizík.
Samostatnou oblasťou v rámci kroku stanovenia súvislostí manažmentu rizík je určenie kritérií, ktoré majú byť použité pre ohodnotenie významnosti rizík. Tieto kritéria vyjadrujú hodnoty chráneného subjektu, jeho ciele a zdroje. Hodnoty kritérií môžu byť tiež odvodené aj na základe legislatívnych a regulačných požiadaviek, ktoré sa vzťahujú na daný subjekt. Kritéria je potrebné určiť na začiatku procesu manažmentu rizík a následne ich kontinuálne kontrolovať. Aby boli kritéria konzistentné sbezpečnostnou politikou, tak je potrebné zvážiť povahu a typy príčin a následkov, ktoré môžu nastať a ako sa dajú merať, časový rámec možnosti výskytu udalostí a ich následkov a spôsob ako je možné definovať možnosť výskytu, spôsob stanovenia úrovne rizika a úroveň, od ktorej sa riziko stáva akceptovateľne, resp. tolerovateľné. Vo všeobecnosti rozlišujeme dva typy kritérií:
Krok Vytváranie súvislostí je možné, z pohľadu účelu návrhu bezpečnostných projektov, interpretovať prostredníctvom tzv. bezpečnostných požiadaviek, ktoré sú identifikované a popísané vnasledovných krokoch (Obrázok 3):
Popis činnosti organizácie/subjektu znamená bližšiu špecifikáciu činností vykonávaných vrámci chráneného objektu. Stýmto krokom priamo súvisí ikrok definovania požiadaviek všeobecne záväzných právnych predpisov. Identifikované požiadavky vytvárajú nutné podmienky, ktoré musia byť uvažované vrámci návrhu bezpečnostného projektu. Ďalším krokom je analýza bezpečnostného prostredia, ktorej cieľom je zaistiť vierohodné, aktuálne, relevantné informácie o situácii vrámci chráneného objektu. Predmetom záujmu môžu byť informácie o :
Cieľom analýzy súčasného stavu zabezpečenia subjektu je popísať už existujúci systém ochrany atým charakterizovať slabé miesta tohto systému. Slabé miesta vrámci systému ochrany sa tiež nazývajú zraniteľné miesta systému. Zraniteľné miesta systému ochrany umožňujú potenciálnemu páchateľovi narušiť bezpečnostné prostredie, vniknúť do chráneného objektu a preniknúť kchránenému záujmu, alebo inak s ním manipulovať. Analýza chráneného záujmu popisuje typ chráneného záujmu, umiestnenie chráneného záujmu, jeho hodnotu, atraktívnosť a jeho významnosť zpohľadu činností afunkcií subjektu [7]. Pod pojmom chránený záujem sa rozumie majetok alebo iné hodnoty, ktoré majú byť alebo sú chránené pred odcudzením, poškodením, zničením alebo pred iným spôsobom narušenia.
Posledným krokom je stanovenie kritérií pre ohodnotenie významnosti rizík a kritérií tolerancie rizík. Zvolenie primeraných kritérií závisí od konkrétnych podmienok asúvislosti špecifickej situácie apreto sú definované vtomto kroku. Zadefinované kritéria budú ďalej použité vkroku hodnotenia rizík.
Kritéria pre ohodnotenie významnosti rizík predstavujú číselné mierky, ktoré sú použité na jednej strane na ohodnotenie odhadu závažnosti konkrétnej hrozby azraniteľných miest chráneného objektu cez ktoré sa môže hrozba prejaviť aspôsobiť výskyt negatívneho javu (narušenie chráneného objektu) ana strane druhej na ohodnotenie odhadu závažnosti dopadov negatívneho javu, vprípade že jav nastane. Vkroku posudzovania rizík sú jednotlivé riziká ohodnotené na základe stanovených mierok. Okrem kritérií pre ohodnotenie významnosti rizík je potrebné stanoviť aj kritéria tolerancie rizík. Tieto kritéria predstavujú číselnú hranicu, voči ktorej sú porovnávané ohodnotené riziká a na základe ktorej je možné rozhodnúť o akceptovateľnosti aleboneakceptovateľnosti rizík. Kritéria tolerancie rizík sa stanovujú na základe kombinácie možnosti výskytu negatívneho javu a veľkosti jeho dopadov. Podľa charakteru chráneného subjektu sa uvažuje citlivosť na jeden parameter rizika, ato buď na dopady alebo možnosť výskytu negatívneho javu.
Na základe informácií získaných vkroku Vytváranie súvislostí je možné realizovať krok Posudzovanie rizík. Tento krok pozostáva zidentifikácie, analýzy ahodnotenia rizík. Z pohľadu schémy pre návrh bezpečnostných projektov je možné tento krok považovať vschéme projektovania bezpečnosti (Obrázok 3) aj procese manažmentu rizík (Obrázok 4) za obsahovo aj rozsahovo identické. Účelom identifikácie rizík je vytvorenie komplexného zoznamu rizík. Každé riziko vzozname je popísané prostredníctvom príčin, resp. zdrojov rizika, ktoré zapríčiňujú možnosť, že nastane negatívna udalosť. Príčiny sú popisované vo forme hrozieb azraniteľných miest. Ďalej sa vzozname uvádza popis možnej udalosti ajej negatívnych dôsledkov, ktoré môžu znehodnocovať, oneskorovať alebo iným spôsobom zapríčiňovať odchýlky vdosahovaní cieľov subjektu, ktoré má vytýčené vzhľadom na plnenie funkcií vrámci kritickej infraštruktúry. Komplexnosť identifikácie je kritická, pretože riziká, ktoré nie sú identifikované v tomto štádiu, nie sú zahrnuté do ďalšej analýzy. Vrámci registra rizík sa uvažujú reťazce zraniteľných miest, ktoré boli identifikované apriamo súvisia sdaným chráneným záujmom. Tento reťazec zraniteľných miest môžeme nazvať aj možnou cestou páchateľa, ktorú musí prekonať, aby sa dostal kchránenému záujmu.
Ďalším krokom posudzovania rizík je analýza rizík. Tento krok vseba zahŕňa analýzu informácií získaných vpredchádzajúcich krokoch procesu. Výstupom analýzy jepridelenie hodnôt jednotlivým scenárom rizík, pričom sú rešpektované vopred definované kritéria pre ohodnotenie významnosti rizík. Kombináciou odhadu možnosti výskytu udalosti azávažnosti jej negatívnych dôsledkov získame mieru rizika, na základe ktorej vďalšom kroku rozhodneme oprijateľnosti alebo neprijateľnosti tohto scenára rizika. Vanalýze rizík je zoznam rizík doplnený okvantitatívne odhady jednotlivých prvkov rizika.
Vytvorené akvantitatívne ohodnotené scenáre poskytujú prehľad orizikách, ktoré môžu vzniknúť, ale neposkytujú informácie, proti ktorým rizikám je potrebné daný objekt zabezpečiť. To je účelom posledného kroku posudzovania rizík, ktorým je hodnotenie rizík. Cieľom tohto kroku je podporiť rozhodovanie, založené na výstupoch z analýzy rizík, o tom, pre ktoré scenáre rizík je nevyhnutné vytvorenie bezpečnostného projektu ajeho následná implementácia. Hodnotenie rizík zahŕňa porovnávanie úrovne jednotlivých scenárov rizík zistených v priebehu analýzy s kritériami tolerancie rizík definovanými vo fáze určovanie súvislostí.
Tabuľka 1 Register rizík – Identifikácia, analýza ahodnotenie rizík
|
Register rizík |
||||||||||
|
Identifikácia rizík |
Analýza rizík |
Hodnotenie rizík |
||||||||
|
Scenár rizika |
Zdroj rizika/príčina |
Negatívna udalosť |
Dôsledky |
Príčina / zdroj rizika |
Negatívna udalosť |
Dôsledky |
Úroveň rizika |
Tolerancia rizika |
||
|
Zdroj rizika |
Zraniteľné miesto (cesta páchateľa) |
Hrozba |
Zraniteľné miesto |
|||||||
|
1. |
Informovaný páchateľ, použitie náradia, znalosť prostredia |
Nezabezpečená kontrola vstupov do objektu, absencia detektora pohybu pri vchode do budovy kde sa nachádza chránený záujem, absencia bezpečnostných dverí |
Narušenie/prekonanie chráneného priestoru |
Krádež chráneného záujmu |
2 |
3 |
6 |
4 |
24 |
Akceptovateľné riziko |
Pre podporu procesu posudzovania rizík existujú rôzne softvérové nástroje, ktoré využívajú kvalitatívno-kvantitatívne metódy posudzovania rizík. Tieto nástroje sú však často aplikovateľné iba pre úzku oblasť ochrany objektov, pretože vychádzajú zhodnôt určitých merateľných atribútov objektu, ako sú [3]:
Na základe uvedených hodnôt býva odhadnutá pravdepodobnosť eliminovania narušiteľa. Tento odhad je vo väčšine prípadov vykonávaný na základe stochastických matematických metód. Ako uvádza Loveček [3] základné metódy na posudzovanie účinnosti systému ochrany objektov sa používajú EASI model aASD diagram, ktoré sú integrované vzložitejších metodikách, ako sú nástroje SAVI aASSESS. EASI model vyžaduje stredné hodnoty asmerodajné odchýlky v uvedených časoch, kde vo vzájomnom vzťahu s pravdepodobnosťou detekcie narušiteľa apravdepodobnosťou včasnej asprávnej reakcie zásahovej jednotky vypočíta odhad pravdepodobnosti jeho eliminovania. Jeho nevýhodou je tá skutočnosť, že je schopný odhadnúť pravdepodobnosť eliminovania narušiteľa iba na jednej ceste narušenia. Metóda ASD predstavuje metódu pre grafické znázornenie možných ciest útokov vstráženom priestore. Účinnosť ochranného systému je určená pomocou kritickej cesty. Tieto metódy boli vyvinuté americkými laboratóriami Sandia National Laboratories, spoločnosti Sandia Corporation. Zaoberajú sa výskumom voblasti nukleárnych zbraní, vojenských technológií, energetiky akritickej infraštruktúry avýskumov voblasti národnej bezpečnosti aobrany. Ďalším nástrojom, ktorý sa vo svete využíva pre posudzovanie rizík je CARVER2, Sprut, Vega 2, Analizator SFZ, ktoré boli vytvorené vRusku alebo SAPE vytvorený vJužnej Kórei [1] [3].
Na základe ohodnotenia rizík, či už expertným spôsobom alebo softwarovou podporou získame prehľad orizikách, scenároch rizík, ktoré treba znížiť na akceptovateľnú úroveň. Rozhodnutia ospôsobe znižovania rizík aich implementácia sú uskutočňované vkroku zaobchádzanie srizikom. Cieľom tohto kroku je teda výber a implementácia možností, prostredníctvom ktorých je možné riziko modifikovať.
Zpohľadu bezpečnostných projektov je práve tento krok kľúčovou časťou. Návrh a realizácia bezpečnostných projektov na ochranu objektov je tak komplexným nástrojom zaobchádzania srizikom. Tento krok procesu manažmentu rizík je možné vschéme projektovania bezpečnosti (obrázok 3) interpretovať prostredníctvom častí Návrhy riešenia zaobchádzania srizikami aImplementácia ochranných opatrení. Návrh bezpečnostného projektu pozostáva zkombinácie rôznych prvkov ochrany, ktoré sa vo všeobecnosti dajú klasifikovať do nasledovných skupín, ato : mechanických zábranných prostriedkov, technických prostriedkov ochrany, fyzickej ochrany, režimových aorganizačných opatrení.
Proces manažmentu rizík sa uskutočňuje v dynamickom prostredí, preto je nevyhnutné na tento proces pravidelne dohliadať a kontrolovať všetky jeho aspekty. Úlohou monitorovania a kontroly je zaistenie, aby boli navrhované a implementované opatrenia skutočne efektívne, získanie ďalších informácií pre zlepšenie posudzovania rizík, analyzovanie a poučenia sa z udalostí, zmien, trendov, úspechov a chýb a v neposlednom rade aj rozpoznávanie zmien v bezpečnostnom prostredí, vrátane zmien kritérií rizík a rizík samotných, ktoré môžu vyžadovať revíziu stanovených priorít a postupov zaobchádzania s rizikami.
Zpohľadu schémy pre postupnosť projektovania bezpečnosti (obrázok 3) je tento krok procesu manažmentu rizík interpretovaný včastiach zaoberajúcich sa inováciami, odstraňovaním nedostatkov amonitorovaním apreskúmavaním systému.
Počas celého procesu manažmentu rizík sa vyskytuje množstvo rôznej písomnej a ústnej komunikácie medzi všetkými zainteresovanými stranami. Komunikovanie a konzultovanie predstavuje činnosť, ktorá má zjednodušiť presnú a zrozumiteľnú výmenu informácií, zohľadňujúc dôvernosť a osobnú integritu zainteresovaných strán. Efektívna vnútorná a vonkajšia komunikácia je potrebná, aby poverení pracovníci zodpovední za implementáciu manažmentu rizík a zainteresované strany spoločne rozumeli, na akom základe sú prijímané rozhodnutia a tiež rozumeli dôvodom, prečo sú vyžadované určité kroky. Celkové riešenie ochrany objektu vzniká integráciou uvedených postupových krokov a činností podľa obrázka3.
Záver
Autori poukazujú na možnosti využívania základných zásad aprincípov projektového manažmentu ivoblasti projektovania systémov ochrany. Vrámci predkladaného článku načrtli základné východiská projektovanie bezpečnostných systémov sprihliadaním na ich špecifiká. Poukazujú taktiež na neexistenciu komplexného predpisu, ktorý by riešil návrh aimplementáciu bezpečnostných projektov avzhľadom ktomu načrtli možnosť využitia normy ISO 31000 Manažérstvo rizík vrámci projektovania bezpečnostných systémov.
Použitá literatúra
[1] CARVER2 Critical Infrastructure Analysis Tool, citované [2012-9-15]. Spôsob
pritupú:
http://knot9133.eti.pg.gda.pl/zl/infr_krytyczne/CARVER2demo.pdf
[2] ISO 31000:2010. Risk management - Principles and guidelines. International
organization for standardization .
[3] Loveček, T., Reitšpís, J. 2011. Projektovanie
ahodnotenie systémov ochrany objektov. Žilina: Žilinská univerzita vŽilina. ISBN978-80-554-0457-8
[4] Majtán, M. 2009, Projektový manažment, Bratislava: Sprint dva, 2009. ISBN 978-80-89393-05-3.
[5] Němec, V., 2002 Projektový management, Praha: Grada Publishing a.s. 2002. ISBN
80- 247 – 0392 – 0
[6] Veľas, A. (2008). Mestské kamerové monitorovacie systémy
- aspekty prevádzkovania. In: Perspektivní bezpečnostní technologie ochrany majetku.
I SBN 978-80-7318-699-9.
[7] Veľas, A., Loveček, T. (2010). Technické zabezpečenie
ochrany poštových prevádzok. In: Trilobit [elektronický zdroj] : odborný vědecký
časopis. - ISSN 1804-1795. - 2009.
Aktuální číslo
Odborný vědecký časopis Trilobit | © 2009 - 2024 Fakulta aplikované informatiky UTB ve Zlíně | ISSN 1804-1795