Risk management approach in the ValueSec project

• Autorzy: Białas A

Warianty tytułu

PL

Podejście do zarządzania ryzykiem w projekcie ValueSec

• Języki publikacji: EN

Abstrakty

EN

Artykuł przedstawia kompleksowe podejście do zagadnienia zarządzania ryzykiem wypracowane w ramach projektu ValueSec zrealizowanego w Siódmym Programie Badań krajów Unii Europejskiej. Zaprezentowano motywację do podjęcia badań, ich przebieg, osiągnięte wyniki oraz proces walidacji rozwiązań. Metodykę zarządzania ryzykiem i narzędzie wspomagające opracowano z myślą o decydentach podejmujących złożone, strategiczne decyzje odnośnie wyboru zabezpieczeń. Ich złożone problemy decyzyjne były motywacją do realizacji badań. Metodyka opiera się na trzech filarach (Fig. 1): oszacowaniu zdolności rozważanego zabezpieczenia do redukowania ryzyka, analizie kosztów i korzyści związanych z jego zastosowaniem oraz analizie ograniczeń prawnych, społecznych kulturowych, itp., które mogłyby zniweczyć efektywność funkcjonowania zabezpieczenia. Ograniczenia te jako kryteria jakościowe zaimplementowano w narzędziu informatycznym (Fig. 2), które należy uznać za główną wartość dodaną projektu Valuesec. Na podstawie metodyki opracowano prototyp narzędzia zwanego ValueSec Toolset, który poddano walidacji w następujących dziedzinach zastosowań: impreza masowa, bezpieczeństwo transportu szynowego, bezpieczeństwo lotniska i transportu lotniczego, ochrona przed powodzią oraz ochrona energetycznych sieci typu „smart grid” przed atakami cybernetycznymi. Proces walidacji rozpoczyna się od wyboru dziedziny i scenariusza zastosowań oraz zabezpieczeń, które będą poddawane analizie (Fig. 3). Najpierw prowadzona jest ocena ryzyka, jakie występuje bez rozważanego zabezpieczenia, następnie oceniane jest ryzyko po zastosowaniu rozważanego zabezpieczenia (Fig. 4). Ryzyko powinno być poniżej progu akceptowalności. Następnym krokiem jest analiza kosztów-korzyści (CBA) dla zabezpieczenia, które odpowiednio zmniejsza ryzyko. Narzędzie CBA należy odpowiednio przygotować do prowadzenia analiz, w tym zdefiniować strukturę kosztów (Fig. 5) i korzyści. W wyniku przeprowadzonej analizy decydent otrzymuje pełny obraz na temat kosztów i korzyści dotyczących danego zabezpieczenia (np.: Fig. 6 – Fig. 8). Ostatnim krokiem procesu oceny zabezpieczeń jest uruchomienie narzędzia do ocen jakościowych (QCA). Przykłady raportów graficznych będących wynikiem oceny typu QCA pokazano na Fig. 9 – Fig. 10, zaś przykład graficznego raportu zbiorczego – na Fig. 11.

Słowa kluczowe

EN

risk management; security measure; decision support; tool; cost benefit analysis; soft factor

PL

zarządzanie ryzykiem; środek bezpieczeństwa; wspomaganie decyzji; narzędzie; analiza kosztów; analiza korzyści

• Wydawca: Instytut Informatyki Teoretycznej i Stosowanej Polskiej Akademii Nauk
• Czasopismo: Theoretical and Applied Informatics
• Rocznik: 2014
• Tom: Vol. 26, No. 1-2
• Strony: 3--24
• Opis fizyczny: Bibliogr. 18 poz., rys.

Twórcy

autor

Białas A

• Institute of Innovative Technologies EMAG ul. Leopolda 3, Katowice, Poland

Bibliografia

• [1] ValueSec web page: www.valuesec.eu accessed 4 December 2014.
• [2]D2.1 Decision domains concepts and trends , 2011, http://www.valuesec.eu/content/d21-decision-domains-concepts-and-trends.
• [3]D2.2 Data model and decision model , 2011, http://www.valuesec.eu/content/d22-data-model-and-decision-model.
• [4]D2.3 Relational concept between security and politico-economic sphere , 2011, http://www.valuesec.eu/content/d23-relational-concept-between-security-and-politico-economic-sphere.
• [5]D2.5 Report on workshop on user needs and requirements , 2011, http://www.valuesec.eu/content/d25-report-workshop-user-needs-and-requirements.
• [6]Adar E., Blobner C., Hutter R., Pettersen K.: An extended Cost-Benefit Analysis for evaluating Decisions on Security Measures of Public Decision Makers. CRITIS 2012, 7th International Conference on Critical Information Infrastructures Security, September 17-19 2012, Lillehammer, Norway.
• [7]D3.1 Framework for the assessment of methods and tools , 2011, http://www.valuesec.eu/content/d31-framework-assess ment-methods-and-tools.
• [8]D3.2 Catalogue of evaluated methodologies and tools available, 2011, http://www.valuesec.eu/content/d32-catalogue-evaluated-methodologies-and-tools-available.
• [9]D4.1 Part 1 Usability assessment criteria and usability analysis, 2012, http://www.valuesec.eu/content/d41-part-1-usability-assessment-criteria-and-usability-analysis.
• [10]D4.1 Part 2 Usability assessment criteria and usability analysis, 2012, http://www.valuesec.eu/content/d41-part-2-usability-assessment-criteria-and-usability-analysis.
• [11]Räikkönen M., Rosqvist T., Poussa, L., Jähi M.: A Framework for Integrating Economic Evaluation and Risk Assessment to Support Policymakers' Security-related Decisions. PSAM11 & Esrel 2012 Int'l conference proceedings. Scandic Marina Congress Centre, Helsinki, Finland, June 25-29, 2012, USB memory stick, pp. 18-Tu3-2.
• [12]Räikkönen M., Kunttu S., Poussa L.: ValueSec User guide – the CBA excel demo, 2013.
• [13]D3.3 Evaluation of methods and tools, and the required improvements, 2012, http://www.valuesec.eu/content/d33-evaluation-methods-and-tools-and-required-improvements.
• [14]Białas A.: Risk assessment aspects in mastering the value function of security measures. In: Zamojski W., Mazurkiewicz J., Sugier J., Walkowiak T., Kacprzyk J (Eds.): New results in dependability and computer systems. Proc. of the 8th Int. Conf. on Dependability and Complex Systems DepCos-RELCOMEX, Sept. 9-23, 2013, Brunów, Poland, Advances in Intelligent and Soft Computing, Vol. 224, 2013, Springer-Verlag: Cham, Heidelberg, New York, Dordrecht, London, ISBN 978-3-319-00944-5, pp. 25-39. http://link.springer.com/chapter/10.1007%2F978-3-319-00945-2_3#page-1 DOI: 10.1007/978-3-319-00945-2_3.
• [15]Baginski J.: Software support of the risk reduction assessment in the ValueSec project flood use case. In: Zamojski W., Mazurkiewicz J., Sugier J., Walkowiak T., Kacprzyk J (Eds.): New results in dependability and computer systems. Proceedings of the 8th Int. Conf. on Dependability and Complex Systems DepCos-RELCOMEX, September 9-23, 2013, Brunów, Poland, Advances in Intelligent and Soft Computing, Vol. 224, 2013, Springer-Verlag: Cham, Heidelberg, New York, Dordrecht, London, ISBN 978-3-319-00944-5, pp. 11-24. http://link.springer.com/chapter/10.1007%2F978-3-319-00945-2_2#page-1 DOI: 10.1007/978-3-319-00945-2_2.
• [16]Bjorheim Abrahamsen E., Aven T., Pettersen K., Rosqvist T.: A framework for selection of strategy for management of security measures. PSAM11 & Esrel 2012 Int'l conference proceedings. Scandic Marina Congress Centre, Helsinki, Finland, June 25-29, 2012, USB memory stick, pp. 18-Tu2-4.
• [17]Białas A.: Enhancement of the ValueSec Risk Management Model. Annals of Computer Science and Information Systems, Volume 3, Position Papers of the 2014 Federated Conference on Computer Science and Information Systems, DOI: http://dx.doi.org/10.15439/978-83-60810-60-6 pp. 201–208.
• [18]CIRAS web page: http://www.cirasproject.eu/ accessed 4 December 2014.