GALIOT SeMS - Security Management System www.galiot.net

BowTie Metodologijaprocijene sigurnosnog rizika

Marino Tudormarino@galiot.net

MER Systems d.o.o.

GALIOT SeMS - Security Management System www.galiot.net

Zajednički ciljevi i principi svih upravljačkih sustava sigurnosti

2. Principi(i) “Plan, Do, Check, Act”

(ii) Upravljanje temeljeno na procijeni rizika

1. Ciljevi(i) Sustav temeljen na performansama

(ii) Proaktivno model upravljanja

Osnovna funkcija procijene rizika -> Matrica Rizika

GALIOT SeMS - Security Management System

Rizik = f ( Vjerojatnost, Ozbiljnost Štete)

www.galiot.net

Tijek sigurnosnog događaja

GALIOT SeMS - Security Management System www.galiot.net

Pokretačprijetnje

Senarij koristi Izloženost uzrokuje Imovina

proi

zvod

ipokreće

Vjerovatnostpokretanja

Vjerovatnostuspjeha?

Ozbiljnost štete?

Predisponirani uvjeti ?

Preventive mjere ?

Rekativne mjere ?

Gubitak, šteta

GALIOT SeMS - Security Management System

Rizik = f ( Vjerovatnost pokretanja, Nivo Izloženosti, Ozbiljnost Štete)

Rizik = f ( Vjerovatnost, Ozbiljnost Štete)

Napredna funkcija procijen rizika: -> Višestruke matrice rizika-> BowTie

www.galiot.net

Višestruke Matrice Rizika

GALIOT SeMS - Security Management System www.galiot.net

GALIOT SeMS - Security Management System www.galiot.net

BowTie Metoda

Izvori i povijest:- Naslanja se na “Fault” i “Event Tree” metode - 1979, University of Queensland, prvo akademsko pojavljivanje - 1988, Nesreća Piper Alpha platforme, prvo korištenja- 1992, Royal Dutch/Shell Group, standardna, širaka upotreba

….

Gubitak kontrole

Prijetnje (scenariji)

Potencijalne posljedice

Eskalacijskifaktori

Mjere

Preventive mjere

ReaktivneMere

GALIOT SeMS - Security Management System

BowTie Metoda - osnovni elementi

Izloženost

GALIOT SeMS - Security Management System www.galiot.net

Uzroci nezgode - “Swiss Cheese” Model

www.galiot.net

Gubitak kontroleDogađaj

Stvarne posljedice Potencijalne posljedicePreventive

mjere Reakativne mjere

GALIOT SeMS - Security Management System

BSCAT - Metoda analize stvarne nezgodeIzloženost

Uzroci neuspjeha mjera

GALIOT SeMS - Security Management System www.galiot.net

Mjerenje efikasnosti sigurnosnih kontrola

Glavni uzroci potencijalnih nezgoda na temelju BowTie procijene rizika

Glavni uzroci nezgoda na temelju BSCAT analize stvarnih događaja

Glavni uzroci nesukladnosti na temelju nalaza internih audita

GALIOT SeMS - Security Management System www.galiot.net

Usporedba procjene uzroka nezgoda

GALIOT SeMS - Security Management System www.galiot.net

BowTie - Sažetak ✓ BowTie je zrela i široko korištena metoda procijene rizika✓ Matrica Rizika je još uvjek standard✓ BowTie je efikasna za vizualizaciju rizika za sve potencijalne scenarije ✓ BowTie je jednostavna za objasnit i komunicirat unutar tvrtke✓ BowTie jasno razlikuje proativni i reaktivni dio u procijeni rizika✓ BowTie je temeljena na mjerama/kontrolama i njihovoj efikasnosti✓ BowTie se lako integrira sa sustavom održavanja (kvarovi)✓ BowTie se lako integrira sa “scenario-based internal audits”✓ BowTie jasno prezentira/identificira slabosti sustava

(“Escalation Factor” = “Defeating Factor” = “Holes in Swiss Cheese Model”)✓ BowTie je jedina metoda procijene koja se more povezati i ponovo

upotrijebiti kod analize stvarne nezgode (BSCAT)✓ BowTie je izvrsna platform za razvoj i primjenu “semi-quantitative risk

assessment” modela

GALIOT - Enterprise Risk Management Solution www.galiot.net

ICAO Doc 8793 preporuka: “Enterprise Risk Management for Total Risk Landscape”:

• Upravljanje sigurnosnim rizicima (Galiot SMS - Safety)

• Upravljanje rizicima zaštite (Galiot SeMS - Security)

• Upravljanje poslovnim rizicima (Galiot SQM - Quality) (operacijski, financijski, pravni, reputacijski, … rizici)