Metoda i źródło | Opis | Narzędzie wspierające | Zastosowanie | Zalety | Wady |
---|---|---|---|---|---|
RVA (Risk and Vulnerability Analysis) [2], [3], [4] | Rozszerzona wersja PHA. Przewidziana do analizy podatności i ryzyka występującego pomiędzy różnymi sektorami (jak w przypadku infrastruktur krytycznych). Jak w przypadku PHA, podstawowym celem jest identyfikacja niebezpiecznych zdarzeń dla działania/systemu. | MS Word templates | W Norwegii RVA zastosowano i dostosowano do każdego sektora niezależnie, co spowodowało różnice w podejściu do analiz. | Może być stosowany do dowolnego złożonego systemu z niewielkimi zmianami. Ma na celu przedstawienie pełnego przeglądu wszystkich elementów ryzyka związanych z badanym systemem. | Prowadzone analizy ryzyka i podatności są raczej na ogólnym, a nie szczegółowym poziomie. Model RVA opiera się głównie na wykorzystaniu danych jakościowych, a nie ilościowych. Nie jest w stanie uchwycić złożoności współzależnych CI w zadowalający sposób. |
Risk and Vulnerability Analysis (RVA)
Metoda została opracowana przez duńską agencję zarządzania kryzysowego (Danish Emergency Management Agency – DEMA). Została przewidziana dla obszarów, gdzie wymagana jest ocena zagrożeń, ryzyka i słabości (podatności), w odniesieniu do tych działań, które są szczególnie istotne dla funkcjonowania społeczeństwa, w tym podczas poważnych awarii lub katastrof.
RVA jest rozszerzoną wersją metody PHA i z niewielkimi zmianami może być stosowana do dowolnego złożonego systemu. Zgodnie z [3] RVA została rozszerzona poprzez wprowadzenie funkcji krytycznych dla bezpieczeństwa (ang. Safety Critical Funcitons – SCF) dla zdarzeń niepożądanych, które w metodyce DECRIS [16] są nazywane „zdarzeniami głównymi”. Przykładami fizycznych SCF są zasoby, takie jak rurociągi, uzdatnianie wody i produkcja energii. Przykładami niefizycznych SCF są straż pożarna i policja.
Analiza RVA obejmu trzy etapy (fazy) [2]:
1. Przygotowanie analizy ryzyka, w celu:
• Określenia celów i zainteresowanych stron, interesariuszy (ang. stakeholders);
• Określenia granic systemu i kategorii konsekwencji;
• Stworzenia forum, ustalenia zasad kontaktów i spotkań odpowiednich interesariuszy.
2. Wstępna analiza ryzyka, w celu:
• Identyfikacja niepożądanych/niebezpiecznych zdarzeń i powiązanych z nimi społecznych funkcji krytycznych (SCFs);
• Analizy przyczyn i słabych punktów (podatności);
• Oceny ryzyka i zaproponowania środków redukcji ryzyka.
3. Szczegółowa analiza ryzyka, w celu:
• Wyboru niepożądanych zdarzeń dla szczegółowych analiz (na podstawie wyników etapu 2);
• Opisu scenariusza zdarzenia i analizowanego systemu;
• Przeprowadzenia szczegółowych analiz, na przykład: analizę przyczyn, skutków i zależności.
Chociaż analiza jest atrakcyjna ze względu na swą prostotę, obecna wersja RVA napotyka kilka wyzwań metodologicznych, takich jak [3]:
• Złożoność: infrastruktury krytyczne to złożone połączenia starych i nowych technologii, obejmujące kwestie behawioralne, względy ekonomiczne oraz różne zasady organizacyjne i prawne (regulacyjne);
• Zależności: awaria jakiejkolwiek infrastruktury krytycznej może mieć wpływ na większą część społeczeństwa, w tym na inne infrastruktury krytyczne;
• Jednolite podejście we wszystkich sektorach: w celu zapewnienia uwzględnienia różnych priorytetów, wymagań międzysektorowych, istnieje potrzeba ustanowienia ogólnych (powszechnych) ram oceny ryzyka w całej infrastrukturze ;
• Postrzeganie ryzyka: postrzeganie ryzyka będzie różne dla różnych interesariuszy;
• Brak danych statystycznych: często brakuje danych dotyczących wielu istotnych incydentów w infrastrukturze krytycznej;
• Szybkość rozwoju: tempo zmian w krytycznych infrastrukturach jest szybkie.
Analizy ryzyka i podatności są prowadzone raczej na ogólnym niż na szczegółowym poziomie. Nacisk kładziony jest na funkcje krytyczne, które oznaczają te działania, towary i usługi, które stanowią podstawę funkcjonowania społeczeństwa, a zatem muszą być podtrzymywane, kontynuowane podczas poważnych wypadków lub katastrof. Model RVA opiera się głównie na wykorzystaniu danych jakościowych, a nie ilościowych [4].