Posudzovanie rizík ako súčasť projektovania systémov ochrany objektov

V mnohých prípadoch je stanovenie minimálnej úrovne ochrany spojené s procesom manažérstva (riadenia) rizík, kde požiadavky na ochranné opatrenia narastajú čo do rozsahu, resp. sa sprísňujú so zvyšujúcou sa veľkosťou rizika. V prípade, ak aj proces manažérstva rizík neovplyvňuje výslednú minimálnu úroveň ochrany, má významný vplyv pri určovaní dislokácie prvkov ochranných opatrení, ako sú kamery alebo detektory.

Dátum publikácie:25. 4. 2019
Autor:prof. Ing. Tomáš Loveček, PhD.
Oblasti práva: Obchodné právo / Obchod, podnikanie, obchodné právo / Živnostenské podnikanie
Právny stav od:1. 1. 2019

Požiadavka na proces posudzovania rizík súvisiacich s ochranou objektov pred antropogénnymi úmyselnými hrozbami je daná medzinárodnými a národnými všeobecne záväznými predpismi, normami a štandardmi zameranými na určitú oblasť aplikácie (napr. utajované skutočnosti, ochrana kritickej infraštruktúry, ochrana bankových subjektov, ochrana bytových a nebytových priestorov atď.).

Z pohľadu projektovania systémov ochrany objektov je možné proces posudzovania rizík využiť na rôznych úrovniach, a to na:

  • stanovenie minimálnej úrovne ochrany celého systému ochrany objektu (napr. v prípade ochrany utajovaných skutočností, kde proces posudzovania rizík ovplyvňuje potrebnú celkovú minimálnu bodovú hodnotu, ktorú je možné dosiahnuť kombináciou rôznych ochranných opatrení),
  • stanovenie minimálnej úrovne ochrany vybraného ochranného opatrenia, napr. v prípade stanovenia stupňa zabezpečenia obrazového sledovacieho systému (VSS), od ktorého sa odvíjajú požiadavky na jeho funkcionalitu a parametre jednotlivých komponentov,
  • dislokáciu systémoch a ich prvkov ochranných opatrení (napr. v prípade umiestnenia kamier v objekte),
  • stanovenie rizika neúspechu prípravy a realizácie projektu systému ochrany v danom objekte (napr. v prípade vyhodnotenia rizík súvisiacich s projektovým riadením).

Požiadavky na manažérstvo rizík v prípade ochrany rôznych typov objektov sú uvedené v tabuľke 1.

Tabuľka 1 Požiadavky na manažérstvo rizík v prípade ochrany rôznych typov objektov

Predmet ochrany

Požiadavky

Priestory
určené na ukladanie utajovaných skutočností

Subjekt musí určiť riziko možného ohrozenia utajovaných skutočností v chránenom priestore. Vyhláška NBÚ č. 336/2004 Z. z.

Prvky kritickej infraštruktúry

Prevádzkovateľ má spracovať bezpečnostný plán, ktorého súčasťou má byť aj vyhodnotenie rizika hrozby narušenia alebo zničenia jednotlivých zariadení prvku, ich zraniteľné miesta, predpokladané dôsledky ich narušenia alebo zničenia na funkčnosť, integritu a kontinuitu činnosti prvku. Zákon č. 45/2011 Z. z.

Jadrové zariadenie

Subjekt je povinný vypracovať predbežný plán fyzickej ochrany, ktorý okrem iného musí obsahovať predbežné zhodnotenie rizík z neoprávnených činností a analýzu možností neoprávnených činností a zhodnotenie ich následkov. Vyhláška
 ÚJD SR č. 51/2006 Z. z.

Bankové subjekty

Banka musí vypracovať analýzu rizík súvisiacu
s bezpečnosťou prevádzkových priestorov, v ktorých jej zamestnanci uskutočňujú styk s klientmi a súčasne manipulujú s peňažnou hotovosťou. Zákon č. 483/2001 Z. z.

Obchodné
a administratívne priestory

Prevádzkovateľ je povinný spracovať krízový plán, v rámci ktorého je v prvom rade potrebné uskutočniť odhad možných rizík. P CEN/TS 14383-4:200

Priestory subjektov verejnej správy

Povinná osoba musí prijať štandard pre manažment rizík pre oblasť informačnej bezpečnosti informačných systémov verejnej správy (ISVS), ktorý okrem iného zahŕňa identifikáciu, analýzu a hodnotenie rizík spojených
s využívaním aktív a ISVS a zavedenie primeraných postupov a opatrení na redukciu týchto rizík. MF SR č. 55/2014 Z. z.

Bytové priestory

Norma P CEN/TS 14383-3:2005 celkovú požadovanú úroveň zabezpečenia stanovuje na základe celkovej úrovne potenciálneho rizika.

 

V jednotlivých prípadoch sú (resp. nie sú) vytvorené rôzne metodické pokyny, ktoré nezdieľajú jednotný prístup k procesu posudzovania rizík (Tabuľka 2).

Tabuľka 2 Posudzovanie rizík na základe predmetu ochrany

Predmet ochrany

Metodické usmernenie pre proces posudzovania rizík

Priestory určené
na ukladanie utajovaných skutočností

Zásady a princípy analýzy rizík v oblasti fyzickej
a objektovej bezpečnosti

(Metodika)

Prvky kritickej infraštruktúry

Nie je bližšie špecifikované

Jadrové zariadenie

Nie je bližšie špecifikované

Bankové subjekty

Metodické usmernenie na zabezpečenie jednotného postupu útvarov Policajného zboru SR pri prerokúvaní analýzy rizík súvisiacich s bezpečnosťou prevádzkových priestorov bánk a pobočiek zahraničných bánk.

Obchodné
a administratívne priestory

Nie je bližšie špecifikované

Priestory subjektov verejnej správy

ISO/IEC 27005: 2012

Bytové priestory

P CEN/TS 14383-3:2005

 

Všeobecné zásady a návod, ako pristupovať k procesu manažérstva rizík, definuje norma ISO 31000:2018 Manažérstvo rizika. Zásady a návod. Mnohé z vyššie uvedených predpisov nie sú v zhode s uvedenou normou, a to či už z pohľadu terminologického, ako aj procesného. Dokonca i v prípade, keď sa príslušný predpis priamo odvoláva na tento štandard (napr. ISO/IEC 27005: 2012).

Aj keď pri zabezpečovaní ochrany daného objektu je v prvom rade nutné vychádzať z existujúcej právnej úpravy (z pohľadu terminologického, ako aj procesného), je tiež potrebné v maximálnej možnej miere ctiť a uplatňovať všeobecne platné zásady, ktoré platia pre manažérstvo rizík.

Podľa normy ISO 31 000 manažérstvo rizika predstavuje usporiadaný a koordinovaný súbor činností a metód, a to na usmerňovanie a riadenie organizácie vo vzťahu k rizikám, ktoré môžu ovplyvniť jej schopnosť dosiahnuť stanovené ciele, kde riziko je charakterizované odkazom na potenciálnu udalosť a jej následky.

Manažérstvo rizika odkazuje na architektúru efektívneho manažérstva rizika, ktorá zahŕňa (Obrázok 1):

  • zásady manažérstva rizika,
  • štruktúru manažérstva rizika (framework),
  • proces manažérstva rizika.

Normu môže využiť akákoľvek verejná, súkromná alebo spoločenská organizácia, asociácia, skupina alebo jednotlivec. Preto táto norma nie je špecifická pre nejaký druh alebo pre nejaké odvetvie, pre uľahčenie sa rôzni používatelia normy označujú všeobecným termínom organizácia.

 

Obr_01_Procesy_manažérstva_rizika_orez

Obrázok 1 Procesy manažérstva rizika podľa ISO 31000

 

Normu možno použiť počas existencie akejkoľvek verejnej či súkromnej organizácie, v združeniach a u jednotlivcov na široký rozsah činností a procesov súvisiacich s/so tvorbou stratégie a rozhodnutí, zabezpečovaním prevádzky (výroba, služby), prípravou projektov a v neposlednom rade súvisiacich s ochranou majetku. Je možné ju aplikovať na akýkoľvek druh rizika a akéhokoľvek charakteru bez ohľadu na to, či má pozitívne alebo negatívne následky. Taktiež je ju možné uplatniť na rôznych úrovniach.

Normu môže využiť akákoľvek verejná, súkromná alebo spoločenská organizácia, asociácia, skupina alebo jednotlivec. Preto táto norma nie je špecifická pre nejaký druh alebo pre nejaké odvetvie, pre uľahčenie sa rôzni používatelia normy označujú všeobecným termínom organizácia.

V prípade požiadavky na zohľadnenie rizika pri stanovení minimálnej úrovne ochrany, či už celého systému, alebo jeho časti (napr. systém VSS), je vo väčšine prípadov príslušnou autoritou (napr. NBÚ SR, SÚTN) spracovaný metodický pokyn.

V prípade rozhodnutia o dislokácii jednotlivých prvkov systémov (napr. detektory, kamery, prvky APAS atď.) okrem pokynov ich výrobcov a technických noriem definujúcich všeobecné pokyny pre používanie týchto systémov v praxi (napr. ČSN EN 50131-7, ČSN EN 62676-4, ČSN EN 60839-11-2) zohráva významnú úlohu už spomínaný proces posudzovania rizík obsahujúci podprocesy identifikácie, analýzy a hodnotenia rizík.

Podľa normy ISO 31 000 proces posúdenia rizík je súčasťou procesu manažérstva rizík a zahrnuje podprocesy, ako sú identifikácia, analýza alebo hodnotenie rizík.

Identifikácia rizík zahrnuje zisťovanie zdrojov rizík, udalostí a potenciálnych následkov (tvorba scenárov bezpečnostných udalostí).

Analýza rizika je proces stanovenia úrovne rizika, kde táto úroveň je vyjadrená ako kombinácia následkov a ich pravdepodobnosti možnosti výskytu.

Hodnotenie rizika je proces porovnania výsledkov analýzy rizík s kritériami rizík na stanovenie, či riziko alebo jeho dosiahnutá úroveň je akceptovateľná.

Ako bolo v úvode uvedené, proces posudzovania rizík je možné aplikovať na rozhodnutie o umiestnení ochranných opatrení primárne na základe vyhodnotenia pravdepodobnosti možných rizík. V danom prípade existujú možné scenáre, akým spôsobom, resp. akými cestami môže narušiteľ dosiahnuť svoj cieľ. V prípade, že vyhodnocujeme riziká, ktorých dôsledky sú konštantné, t. j. chránené aktívum sa nemení (napr. trezor v kancelárii) a úroveň tohto rizika je ovplyvňovaná iba pravdepodobnosťou vzniku danej negatívnej udalosti (bezpečnostného incidentu), môžeme hovoriť aj o analýze zraniteľnosti, čo však nič nemení na skutočnosti, že sú použité rovnaké princípy ako pri procese analýzy rizík (kombinácia následkov a ich pravdepodobnosti možnosti výskytu). Podľa normy ISO 18788 analýza zraniteľnosti je proces identifikácie a kvantifikácie niečoho, čo vytvára náchylnosť k zdroju rizika (napr. zlodej), ktorý môže viesť k následkom (napr. prerušenie dodávky).

 

Príklad analýzy rizík (analýzy zraniteľnosti) vo vybranom objekte je uvedený v tabuľke 3.

Hrozba (scenár)

Možnosť výskytu <1-5>

Následok

<1-5>

Úroveň rizika

Udalosť

Následok

Krádež materiálu zo skladu C2 mimo pracovnej doby prekonaním plota a vylomením vstupných dverí do skladu

Prerušenie dodávky stavebného materiálu do výroby

4

5

20

Krádež materiálu zo skladu C2 mimo pracovnej doby prekonaním plota a vniknutím cez okno
do skladu

4

5

20

Krádež materiálu zo skladu C2 mimo pracovnej doby využitím padákového klzáka vniknutím
cez strešnú ventiláciu

1

5

5

Krádež materiálu zo skladu C2 mimo pracovnej doby prekonaním obvodovej steny, ktorá je súčasťou perimetra chráneného priestoru

2

5

10

 

Z uvedeného príkladu v tabuľke 3 vyplýva, že rôzne scenáre majú rôznu možnosť výskytu (vyjadrenú napr. pravdepodobnosťou), čo v konečnom dôsledku by malo zavážiť pri dislokácii ochranných opatrení. Z uvedeného príkladu krádeže materiálu zo skladu C2 vyplýva, že pri rozmiestňovaní prvkov poplachových systémov určených na detekciu narušiteľa by mal byť dôraz kladený na dverové a okenné otvorové výplne.

Skoro vo väčšine prípadov je systém ochrany tvorený poplachovými systémami ako elektrické zabezpečovacie a tiesňové poplachové systémy (EZS/TPS), obrazové sledovacie systémy (VSS) alebo elektronické systémy kontroly vstupov (SKV). Návrh týchto poplachových systémov, ich parametrov a požiadaviek na ich funkcie je podľa technických predpisov rovnako spojený s procesom posudzovania rizík.

V prípade zabezpečenia priestoru systémom EZS/TPS, technická norma ČSN EN 50131–1 pre tento typ poplachových systémov definuje štyri stupne zabezpečenia viažuce sa iba na predpokladané schopnosti a zručnosti potenciálneho narušiteľa. V tomto prípade je síce deklarovaná škála možných veľkostí rizík, ale norma už bližšie nešpecifikuje, ako stanoviť konkrétnu úroveň a necháva to na ad hoc posúdenie projektanta. Rovnako sa v norme uvádza, že má byť spracované bezpečnostné posúdenie zabezpečovaného priestoru, a to tak, aby bolo možné stanoviť požadovaný stupeň, pričom však bližší postup nie je špecifikovaný (ČSN EN 50131-7). Prílohy normy ČSN EN 50131-7 B až D definujú, ktoré faktory majú byť zohľadnené pri stanovovaní veľkosti rizika:

  • hodnota majetku (napr. druh majetku, hodnota majetku, množstvo a veľkosť, história krádeží atď.),
  • stavebné priestory (konštrukcia, otvory, režim prevádzky objektu, kľúčový režim, lokalita, existujúce zabezpečenie, všeobecne záväzné právne predpisy, bezpečnosť prostredia),
  • vplyvy pôsobiace na EZS/TPS a majúce pôvod v chránenom priestore (vodovodné potrubie, vzduchotechnika, vykurovanie, klimatizačné systémy, výťahy, zdroje svetla, elektromagnetické rušenie, vonkajšie zvuky, prievan, usporiadanie skladovaných priestorov, divoké alebo domáce zvieratá atď.),
  • vplyvy pôsobiace na EZS/TPS a majúce pôvod mimo chráneného priestoru (dlhodobo pôsobiace faktory – výstavba cestnej, energetickej infraštruktúry, krátkodobo pôsobiace faktory – dočasná výstavba, vplyvy počasia, vysokofrekvenčné rušenie, priľahlé priestory atď.).

V prípade zabezpečenia priestoru systémom VSS norma pre tento typ poplachových systémov (ČSN EN 62676-1-1) definuje taktiež štyri stupne zabezpečenia, ale už v nadväznosti na typ objektu, resp. veľkosť rizika. V tomto prípade stanovenie stupňa zabezpečenia má vychádzať z veľkosti rizika danej možnými dôsledkami a pravdepodobnosťou vzniku negatívnej udalosti (Obrázok 2).

 

Obr_02_Riziká a stupne zabezpečenia systému

Obrázok 2 Riziká a stupne zabezpečenia systému VSS podľa ČSN EN 62676-1-1

 

Podľa normy ČSN EN 62676-4 pred návrhom systému VSS má byť urobený odhad hrozieb a analýza rizík. Majú byť identifikované hrozby pre dané priestory a následne má byť posúdená ich pravdepodobnosť a dosah. Má byť vykonané posúdenie rizík, pričom systém VSS má byť navrhnutý tak, aby zmierňoval tieto riziká. Všetky procesy súvisiace s rizikami majú byť realizované v súlade s medzinárodnou normou ISO 31000, ktorá definuje základné všeobecné princípy pre manažérstvo rizík, pričom majú byť zohľadnené nasledujúce faktory:

  • náklady možných strát (aká je hodnota – finančná alebo intelektuálna, vecí nachádzajúcich sa v lokalite?, aký je dosah prerušenia aktivít v lokalite?),
  • lokalita (napr. je lokalita situovaná vo vysoko rizikovom prostredí, sú v lokalite nepriaznivé klimatické podmienky atď.),
  • osídlenie (je lokalita dlhšiu dobu neosídlená?, nachádzajú sa v lokalite bezpečnostné služby?),
  • história krádeží, lúpeží a hrozieb.

V prípade zabezpečenia priestoru systémom SKV technická norma pre tieto poplachové systémy ČSN EN 60839-11-1 definuje štyri stupne zabezpečenia v nadväznosti na schopnosti a zručnosti predpokladaného typu narušiteľa. V tomto prípade je síce opäť stanovená škála možných rizík, ale norma už bližšie nešpecifikuje, ako vybrať konkrétnu úroveň rizika a necháva to na ad hoc posúdenie projektanta. I keď v norme špecifikujúcej pokyny pre aplikáciu do praxe (ČSN EN 60839-11-2) je uvedená bloková schéma popisujúca, ktoré faktory majú byť zohľadnené (Obrázok 3).

 

Obr_03_Bloková schéma analýzy rizík

Obrázok 3 Bloková schéma analýzy rizík podľa ČSN EN 60839-11-2

 

Polohu jednotlivých prvkov systému ochrany ovplyvňuje okrem procesu posudzovania rizík, resp. zraniteľností aj množstvo ďalších požiadaviek, ktoré by mal projektant zohľadniť pri návrhu systému ochrany:

  • dislokácia daná výrobcami,
  • dislokácia daná parametrami ochranných opatrení,
  • dislokácia daná technickými predpismi,
  • dislokácia daná vplyvom prostredia.

Týmito požiadavkami sa budeme zaoberať v ďalšom článku.

Súvisiace odborné články

Súvisiace interné firemné predpisy

Súvisiace dokumenty

Súvisiace právne predpisy ZZ SR

Funkcie

Partner

Nastavenie súborov cookies

Táto webová stránka používa rôzne cookies pre poskytovanie online služieb, na účely prihlásenia, poskytovania obsahu prostredníctvom tretích strán, analýzu návštevnosti a iné. V súlade s platnou legislatívou prosíme o potvrdenie súhlasu alebo nastavenie vašich preferencií. Ďakujeme.

Viac informácií.