Post on 11-Jan-2020
GALIOT SeMS - Security Management System www.galiot.net
BowTie Metodologijaprocijene sigurnosnog rizika
Marino Tudormarino@galiot.net
MER Systems d.o.o.
GALIOT SeMS - Security Management System www.galiot.net
Zajednički ciljevi i principi svih upravljačkih sustava sigurnosti
2. Principi(i) “Plan, Do, Check, Act”
(ii) Upravljanje temeljeno na procijeni rizika
1. Ciljevi(i) Sustav temeljen na performansama
(ii) Proaktivno model upravljanja
Osnovna funkcija procijene rizika -> Matrica Rizika
GALIOT SeMS - Security Management System
Rizik = f ( Vjerojatnost, Ozbiljnost Štete)
www.galiot.net
Tijek sigurnosnog događaja
GALIOT SeMS - Security Management System www.galiot.net
Pokretačprijetnje
Senarij koristi Izloženost uzrokuje Imovina
proi
zvod
ipokreće
Vjerovatnostpokretanja
Vjerovatnostuspjeha?
Ozbiljnost štete?
Predisponirani uvjeti ?
Preventive mjere ?
Rekativne mjere ?
Gubitak, šteta
GALIOT SeMS - Security Management System
Rizik = f ( Vjerovatnost pokretanja, Nivo Izloženosti, Ozbiljnost Štete)
Rizik = f ( Vjerovatnost, Ozbiljnost Štete)
Napredna funkcija procijen rizika: -> Višestruke matrice rizika-> BowTie
www.galiot.net
Višestruke Matrice Rizika
GALIOT SeMS - Security Management System www.galiot.net
GALIOT SeMS - Security Management System www.galiot.net
BowTie Metoda
Izvori i povijest:- Naslanja se na “Fault” i “Event Tree” metode - 1979, University of Queensland, prvo akademsko pojavljivanje - 1988, Nesreća Piper Alpha platforme, prvo korištenja- 1992, Royal Dutch/Shell Group, standardna, širaka upotreba
….
Gubitak kontrole
Prijetnje (scenariji)
Potencijalne posljedice
Eskalacijskifaktori
Mjere
Preventive mjere
ReaktivneMere
GALIOT SeMS - Security Management System
BowTie Metoda - osnovni elementi
Izloženost
GALIOT SeMS - Security Management System www.galiot.net
Uzroci nezgode - “Swiss Cheese” Model
www.galiot.net
Gubitak kontroleDogađaj
Stvarne posljedice Potencijalne posljedicePreventive
mjere Reakativne mjere
GALIOT SeMS - Security Management System
BSCAT - Metoda analize stvarne nezgodeIzloženost
Uzroci neuspjeha mjera
GALIOT SeMS - Security Management System www.galiot.net
Mjerenje efikasnosti sigurnosnih kontrola
Glavni uzroci potencijalnih nezgoda na temelju BowTie procijene rizika
Glavni uzroci nezgoda na temelju BSCAT analize stvarnih događaja
Glavni uzroci nesukladnosti na temelju nalaza internih audita
GALIOT SeMS - Security Management System www.galiot.net
Usporedba procjene uzroka nezgoda
GALIOT SeMS - Security Management System www.galiot.net
BowTie - Sažetak ✓ BowTie je zrela i široko korištena metoda procijene rizika✓ Matrica Rizika je još uvjek standard✓ BowTie je efikasna za vizualizaciju rizika za sve potencijalne scenarije ✓ BowTie je jednostavna za objasnit i komunicirat unutar tvrtke✓ BowTie jasno razlikuje proativni i reaktivni dio u procijeni rizika✓ BowTie je temeljena na mjerama/kontrolama i njihovoj efikasnosti✓ BowTie se lako integrira sa sustavom održavanja (kvarovi)✓ BowTie se lako integrira sa “scenario-based internal audits”✓ BowTie jasno prezentira/identificira slabosti sustava
(“Escalation Factor” = “Defeating Factor” = “Holes in Swiss Cheese Model”)✓ BowTie je jedina metoda procijene koja se more povezati i ponovo
upotrijebiti kod analize stvarne nezgode (BSCAT)✓ BowTie je izvrsna platform za razvoj i primjenu “semi-quantitative risk
assessment” modela
GALIOT - Enterprise Risk Management Solution www.galiot.net
ICAO Doc 8793 preporuka: “Enterprise Risk Management for Total Risk Landscape”:
• Upravljanje sigurnosnim rizicima (Galiot SMS - Safety)
• Upravljanje rizicima zaštite (Galiot SeMS - Security)
• Upravljanje poslovnim rizicima (Galiot SQM - Quality) (operacijski, financijski, pravni, reputacijski, … rizici)