Phân tích rủi ro đối với cơ sở hạ tầng quan trọng

1. Khái quát

Bài viết này tập trung vào các đặc tính của việc phân tích rủi ro được áp dụng đối với việc xác định các rủi ro của các hành vi vi phạm pháp luật xảy ra trong việc bảo vệ cơ sở hạ tầng quan trọng. Nó cho thấy khả năng kết nối các phân tích rủi ro trong việc xem xét thực tế các rủi ro cá nhân, bao gồm đánh giá yếu tố con người và tầm quan trọng của việc đánh giá ảnh hưởng.

2. Mở đầu

Con người và hành vi của con người được hình thành chủ yếu bởi sự sợ hãi về cuộc sống của họ, cuộc sống của những người thân yêu và cảm giác về mối đe dọa đến tài sản. Động lực của con người muốn được sống trong một môi trường an toàn và ổn định được xác định trên cơ sở (giữa những người khác) của sự hỗ trợ của tháp Maslow về nhu cầu, nó có nhu cầu về an toàn theo các nhu cầu sinh lý và ngay lập tức ở các mức độ cơ bản của các nhu cầu bậc thấp về động cơ thúc đẩy hành vi con người. Nếu chúng ta đặt lý luận này vào một mức độ nhất định để đạt được trình độ công nghệ và vật liệu, kể cả mức độ kiến thức, có thể dẫn ra rằng việc tạo ra môi trường an toàn ổn định có một ý nghĩa rất quan trọng đối với hành vi của con người theo thời gian và không gian. Liên quan đến vấn đề này, vấn đề lợi ích của mỗi cá nhân được bảo đảm tuân theo các mức độ an toàn riêng biệt tùy thuộc vào mức độ kiến thức cần thiết để duy trì nhu cầu cá nhân được sống an toàn. Nhu cầu này, ở đây là mức độ, được xác định bởi mỗi cá nhân, và do đó không thể nói về sự an toàn ổn định vững chắc trong một xã hội, mà ở đó mỗi cá nhân luôn luôn là một thành phần cơ bản với khả năng của một nền dân chủ xác định. Quy trình đàm phán chịu ảnh hưởng bởi những ý tưởng và động lực của mỗi cá nhân, trong khi  chúng ức chế nhu cầu an ninh của họ về giải quyết các nhu cầu khác của mình, không thể bình thường hóa và giải quyết cơ học với tính đa dạng của chúng. Các quá trình liên kết với động cơ của con người không thể nắm bắt được chính xác, tuy nhiên người ta vẫn đang tìm kiếm các phương pháp sáng tạo hoặc ứng dụng các công cụ đã được chứng minh đã được sử dụng trong cấu trúc của các ngành khác đã được áp dụng vào lĩnh vực mà trước đây chưa được sử dụng. Mục tiêu của các phương pháp này ít nhất được tinh chỉnh một phần và việc xác định các rủi ro liên quan đến các kịch bản tố tụng, ở đây là các hiện tượng của hành vi con người.

Nếu chúng ta tiếp tục duy trì hoạt động của con người tập trung vào an toàn (tình trạng của hệ thống, mà ở đó xác suất xuất hiện tổn thương được bảo vệ là chấp nhận được), có thể thấy rằng, ý nghĩa của từ an toàn chỉ được hiểu như là một phân đoạn nhất định thỏa mãn sự định hướng chuyên nghiệp của tổ chức vừa công bố về vấn đề này tại các cuộc họp hoặc hội nghị, và nhiều khi sự an toàn của các phân đoạn khác không được coi là quan trọng như là sự tập trung hay quản lý giáo dục của tổ chức. Các phân đoạn tự nhiên khác bị gạt ra ngoài lề, do ít quan trọng hơn. Trong khi ở đây đặc tính phức tạp của sự an toàn bị bỏ qua, trong đó không thể nói rằng, phần này quan trọng hơn phần kia, chỉ đề cập đến vấn đề tổ chức như thế nào và quản lý thế nào để hỗ trợ lĩnh vực an ninh kinh tế này. Nó cũng tương ứng với các giải thích khác nhau về an ninh, khi mà thỉnh thoảng có những bất đồng giữa kỹ thuật với nhân văn. Hành vi ăn trộm hay khủng bố là một hành vi thể chất, dưới ảnh hưởng của động cơ tinh thần của mình điều khiển thiết bị kỹ thuật, và ở đây một mặt lĩnh vực được đại diện như là khoa học nhân văn, một mặt là khoa học kỹ thuật. Sự phức tạp về an ninh  xuất phát từ thực tế là nó là một tập hợp các biện pháp bảo vệ và phát triển của hệ thống của con người, tức là bảo vệ và phát triển lợi ích được bảo vệ. Nó cũng liên hệ tới sự an toàn (an ninh), đó là trạng thái của hệ thống con người, trong khi với xác suất gây thương tích là chấp nhận được đối với lợi ích được bảo vệ. Ở đây chúng ta sẽ mô tả các khả năng áp dụng các phương pháp đã được kiểm chứng được sử dụng để đánh giá các rủi ro về công nghệ và các rủi ro về quản lý, và cũng để đánh giá các rủi ro này, mà có thể chúng được gọi là rủi ro của cơ sở hạ tầng quan trọng về mặt bảo vệ thể chất.

Trong các hệ thống con của an ninh nội địa liên quan đến sự bảo vệ cơ sở hạ tầng quan trọng có thể nói về một số định hướng tùy thuộc vào tác giả. Ở đây chúng ta có thể sẽ gặp phải vấn đề di dân không kiểm soát được và tình hình tội phạm phát triển nhanh chóng, sự gia tăng các tổ chức tội phạm, khủng bố, xung đột chính trị, kinh tế hoặc tình hình xã hội trong nước, các cuộc tấn công chống lại hiến pháp, sắc tộc, tôn giáo hoặc tình trạng bất ổn dân sự. Các nguồn khác, mà việc phân loại cụ thể các mối đe dọa an ninh sẽ được xác định bởi các cơ quan chức năng của Tổng cục II/BQP và của Bộ Công an, trong số các mối đe dọa an ninh đặc biệt quan trọng nhất là khủng bố, tội phạm có tổ chức, các mối đe dọa không gian mạng, chủ nghĩa cực đoan và an toàn hàng không dân dụng. Ngày nay người ta hay nói đến cái gọi là mối đe dọa bất đối xứng. Người ta đề cập đến hoạt động của các lực lượng chiến thuật hay chiến dịch nhỏ chống lại các vị trí xung yếu, mà mục đích của chúng là đạt được hiệu quả không cân xứng. Hiện nay người ta đã đưa ra 6 loại hoạt động được coi là mối đe dọa không đối xứng, đó là vũ khí nguyên tử, vũ khí hóa học và vũ khí sinh học, chiến tranh mạng, hoạt động lật đổ và khủng bố.

Nói chung, cộng đồng chuyên nghiệp đồng ý rằng mối nguy hiểm hiện nay thuộc về chủ nghĩa khủng bố, cực đoan, tội phạm có tổ chức và hình sự, khi mà dấu hiệu của các mối đe dọa này đan quyện vào nhau. Một cách tổng quát có thể gọi những yếu tố này là những hoạt động bất hợp pháp. Khi đánh giá và phân tích các mối nguy về vấn đề an ninh của cơ sở hạ tầng quan trọng chúng ta quan tâm đến các hoạt động bất hợp pháp của những cá nhân phạm tội trên cơ sở tâm lý và động lực của họ gây ra. Vì thế việc đánh giá sẽ liên quan đến phần lớn các mối quan tâm, vì hầu hết các quá trình phạm tội và ở đây không thể vì lý do không hiểu được những tư duy của con người mà thiết lập kết quả chính xác, vì nó xảy ra trong quá trình phân tích, ví dụ an toàn trong các cơ sở công nghiệp.

Nguy cơ phụ thuộc vào yếu tố làm giảm các rủi ro, các biện pháp bảo vệ, hoặc nói cách khác phụ thuộc vào sự đổi mới hệ thống bảo vệ, mà chúng ta có thể làm giảm nguy cơ này và phân chia nó. Rủi ro là một sự không chắc chắn nhân với hậu quả không mong muốn và có thể dẫn ra rằng "nguy cơ" là xác suất của các hiệu ứng cụ thể, xảy ra trong một khoảng thời gian cụ thể hoặc theo điều kiện cụ thể. Nguy hiểm là tính chất của vật thể, hoặc tình huống với tiềm năng tạo nên thiệt hại.

An ninh có thể được định nghĩa một cách tổng quát như là sự mô tả tổng hợp của các yếu tố quyết định, cần được duy trì trong những giới hạn chấp nhận được, hoặc cũng có thể là tình trạng an toàn, khi đó việc xuất hiện các tổn thương của cuộc sống và sức khỏe con người, tài sản, môi trường sống, xã hội và cơ sở hạ tầng quan trọng có khả năng chấp nhận được.

3. Thủ tục phân tích rủi ro được áp dụng để bảo vệ cơ sở vật chất của cơ sở hạ tầng quan trọng

Khi đánh giá việc bảo vệ kết cấu hạ tầng quan trọng cần phải xác định chuỗi "nguy hiểm - nguy cơ - thiệt hại – tổn thất".

 Hình 1. Quá trình quy nạp

Tiếp theo là việc xác định phương pháp thích hợp phân tích và tính toán rủi ro, bao gồm cả kiểm chứng kết quả. Sau đó đánh giá rủi ro theo mức độ, chúng ta chọn giải pháp tối ưu để giảm thiểu đến mức thấp nhất các rủi ro và giới thiệu các biện pháp mới (kỹ thuật hoặc tổ chức), đào tạo nhân viên, có thể bổ sung cơ chế bảo hiểm và chấp nhận những rủi ro cần thiết chấp nhận được. Trong giai đoạn cuối cùng tiếp theo là việc đề xuất tối ưu hóa cơ sở hạ tầng doanh nghiệp với việc đảm bảo an toàn tối đa. Bằng những phương pháp đánh giá nhắm vào các rủi ro của cơ sở hạ tầng quan trọng đối với các hành vi vi phạm pháp luật sẽ là phương pháp xác suất, phán xét kỹ thuật, sự tương tự và mô hình.

Sau khi được lựa chọn các biện pháp để tối ưu hóa hệ thống sẽ được đưa vào thực tế, tiếp theo sự đánh giá rủi ro, trong đó bao gồm theo dõi rủi ro, xem xét và đánh giá lại rủi ro và tùy biến đánh giá rủi ro bằng những thay đổi xảy ra theo các điều kiện mới.

Việc thực hiện thành công quá trình quản lý rủi ro đòi hỏi phải có sự phân chia trách nhiệm theo mô hình "Kế hoạch - Thực hiện - Kiểm tra - Hành động". Khi đánh giá dự án sự an toàn cơ sở hạ tầng quan trọng hoặc của tổ chức chúng ta phải trải qua ba giai đoạn.

Trong giai đoạn thứ nhất chúng ta phải xác định tình trạng hệ thống, tình trạng môi trường và xây dựng các ý định và chính sách an ninh của tổ chức. Trong giai đoạn thứ hai chúng ta tiếp cận việc phân tích rủi ro và sau đó là giai đoạn thứ ba, trong đó lập kế hoạch thực hiện và xây dựng các hướng dẫn và quy định.

 Hình 2. Sơ đồ khối – sự liên tục của các mối nguy và rủi ro

Phân tích và đánh giá rủi ro là những thủ tục được sử dụng cho nhu cầu quản lý và tạo nên các cơ sở cho quá trình ra quyết định. Để phân tích và đánh giá rủi ro trong thời gian hiện nay có rất nhiều phương pháp có sẵn và các công cụ phần mềm. Về các mục tiêu yêu cầu đầu tiên là đánh giá liệu ở đây các giả định của các phương pháp xác định đã được thực hiện, sau đó đánh giá xem các thông tin và dữ liệu có sẵn có dự đoán được giá trị về phương diện rủi ro và xem các dữ liệu này được áp dụng đối với các phương pháp được lựa chọn.

Sau đó, chỉ có thể tiến hành tính toán. Giải thích kết quả tính toán có thể được thực hiện theo nội dung được xác định bằng phương pháp, kể cả bằng sáng chế cá nhân và bằng sự phán quyết của lãnh đạo giàu kinh nghiệm và kiến ​​thức chuyên môn. Mỗi phương pháp phân tích rủi ro khác nhau chỉ là một công cụ hỗ trợ của người đánh giá, mà họ cũng dựa trên kinh nghiệm thực tế của mình, các quy định và các số liệu thống kê. Đây là điều có lợi, nếu như sự phân tích rủi ro liên quan đến nhiều người đánh giá, nhằm mục đích so sánh và đánh giá kết quả.

 Hình 3. Phương pháp đánh giá rủi ro

Để giải quyết vấn đề phân tích rủi ro tại cơ sở hạ tầng quan trọng người ta đã chọn các bước bao gồm các quy định phân tích tình hình hiện tại và đề xuất hành động phòng ngừa.

Bước đầu tiên là xác định tài sản cần được bảo vệ. Tiếp theo trước những gì đã được bảo vệ (tấn công, bắt cóc, trộm cắp, cháy nổ) và làm thế nào để đảm bảo công tác bảo vệ. Cần phải đánh giá xác suất lớn như thế nào trong trường hợp cụ thể (vị trí, thời gian, con người, hoàn cảnh xung quanh, v.v...) để xuất hiện hậu quả và tốn kém như thế nào có thể xảy ra? Mỗi phương pháp hiện có để xác định rủi ro đã được tạo ra đối với một vấn đề cụ thể. Như đã đề cập, phương pháp để phân tích và đánh giá rủi ro có rất nhiều và ngày càng nhiều thêm. Những phương pháp này có thể được áp dụng thậm chí đối với cả các đối tượng khác, tuy nhiên nó luôn giữ được mục đích ban đầu. Tiêu chí để lựa chọn các phương pháp là sự có mặt của chúng và việc mở rộng ứng dụng của chúng trong thực tế an ninh hiện nay. Nhìn chung có thể suy ra rằng, phân tích những rủi ro đối với những hành vi trái pháp luật có thể được thực hiện theo thứ tự:

- Xác định ranh giới phân tích rủi ro

- Xác định các tài sản và giá trị các tài sản (để định hướng phân tích)

- Xác định các rủi ro và rủi ro mô phỏng

- Đánh giá rủi ro, hậu quả và xác suất của sự kiện

- Giảm thiểu rủi ro

Giới hạn phân tích rủi ro là ranh giới phân chia các tài sản, chúng sẽ thuộc vào quá trình phân tích, từ tài sản của người khác. Khi xác định ngưỡng phân tích người ta dựa trên các mục tiêu của chính sách quản lý, thậm chí từ chính sách an ninh của cơ sở hạ tầng quan trọng. Xác định tài sản là tạo ra một nhóm tất cả các tài sản nằm trong phạm vi ranh giới của phân tích rủi ro, được thể hiện về mặt kinh tế bằng giá trị. Liên quan đến vấn đề này sự giảm rủi ro, khi mà rủi ro cần phải được giảm thiểu đến mức độ nhất định, khi mà chỉ tiêu để giảm nguy cơ trở nên không cân xứng khi so sánh với hạn chế rủi ro tương ứng trên (nguyên tắc ALARA), đó là từ góc độ kinh tế chi phí để tối ưu hóa các hệ thống nên ở khoảng 10% giá trị tài sản, trong trường hợp đặc biệt có thể đến 15%. Đánh giá giá trị tài sản được dựa trên giá trị thiệt hại gây ra bởi sự phá hủy hoặc mất mát tài sản. Thông thường, khi thiết lập giá trị tài sản người ta dựa trên đặc điểm kinh tế của nó, nó cũng có thể là đặc điểm hiệu quả (nếu như tài sản cung cấp tốt việc xác định lợi nhuận hoặc lợi ích khác). Tiếp theo việc xác định rủi ro, chúng sẽ được thực hiện để việc lựa chọn có thể đe dọa ít nhất một tài sản. Để rõ ràng hơn, ở đây xác định rủi ro cũng có được mô hình hóa. Mỗi rủi ro được đánh giá theo từng tài sản riêng biệt. Trước hết nên tiến hành một phân tích rủi ro có định hướng đối với việc quyết định tiếp theo về sự lựa chọn phương pháp đối cho sự phân tích rủi ro lớn riêng biệt sau đó của cơ sở hạ tầng quan trọng cụ thể.

Trước hết cần tiến hành phân tích rủi ro có định hướng với mục đích để đánh giá, trong đó đối tượng là rất quan trọng về khía cạnh cơ sở hạ tầng quan trọng và nó được tạo nên bởi những rủi ro đáng kể. Đối với các đối tượng này sau đó sẽ tiến hành phân tích rủi ro chi tiết, mà nó sẽ được đề cập thêm. Mặc dù nó là một thủ tục có thể thích hợp nhất, tuy nhiên không thể phủ nhận rằng đó là một quá trình lâu dài và tốn kém. Tiếp theo là đánh giá chi tiết những rủi ro với việc xác định tiếp theo thứ tự của chúng theo mức độ quan trọng của chúng ảnh hưởng đến tài sản của cơ sở hạ tầng quan trọng, có liên quan đến việc giảm thiểu các rủi ro nghiêm trọng nhất, mà chúng không vượt quá giới hạn chi phí cho phép.

 Hình 4. Áp dụng phân tích rủi ro để ĐGRR được xác định và các mối nguy hiểm

Khi phân tích rủi ro riêng biệt chúng ta dẫn ra rằng phương pháp phân tích rủi ro theo cách khác, có thể được chia thành phân tích định tính, bán định lượng và định lượng. Phương pháp định tính được đặc trưng bởi những rủi ro được thể hiện trong một phạm vi nhất định (ví dụ được đánh dấu <1 đến 10>, hoặc xác định xác suất xảy ra <0; 1> hoặc bằng lời nói). Mức độ được xác định thường bằng trình độ ước đoán của chuyên gia (cảm tính). Phương pháp bán định lượng bổ sung cho đánh giá định tính bằng các giá trị điểm. Mục đích là để tạo ra một thang điểm chi tiết và khả năng xác minh ranh giới các đối tượng là cao hơn so với phân tích định tính.

Phương pháp định tính đơn giản hơn và nhanh hơn, nhưng nó mang tính chủ quan nhiều hơn. Phương pháp định lượng thường dựa trên các tính toán rủi ro toán học theo tần số xuất hiện nguy cơ và tác động của nó và nó chính xác hơn nhiều. Cả hai cách đều có thể giải quyết phân tích rủi ro của cơ sở hạ tầng quan trọng một cách tổng thể và điều quyết định là khi lựa chọn phương pháp, đặc biệt là mục tiêu, chúng được thay thế bằng cách sử dụng phân tích rủi ro, bao gồm cả mục đích, đối với người được chỉ định để phân tích và khối lượng đầu tư.

Tuy nhiên trong thực tế, có thể xác định được rằng các phương pháp bán định lượng và định lượng không được áp dụng nhiều khi đánh giá rủi ro trong lĩnh vực bảo vệ thể chất. Điều này chủ yếu là do tính phức tạp của các phương pháp này được dẫn ra từ thực tế rằng, những người quản lý an ninh tại những nơi được gọi là nguy cơ của các hành vi trái pháp luật có xu hướng đã được đào tạo về pháp lý an ninh nhiều hơn so với đào tạo đặc tính kỹ thuật an toàn, hay đặc tính khoa học tự nhiên. Do đó không thể định nghĩa chính xác bằng số học ví dụ số lượng ước đoán, giống như giới hạn độ bền của các chi tiết máy, có thể đối với mục đích bảo vệ thể chất đề xuất phương pháp bán định lượng, trong đó chỉ số được thiết lập bằng ước tính, nhưng bằng ước tính chuyên nghiệp và sự giải thích của nhà nghiên cứu và đã được kiểm chứng bởi kiểm toán viên. Sự phù hợp là kết hợp nhóm đánh giá rủi ro cả về mặt kỹ thuật lẫn chuyên ngành giáo dục nhân văn.

Quay trở lại các thủ tục tổng quát phân tích rủi ro của cơ sở hạ tầng quan trọng có thể khẳng định rằng, trước hết cần tiến hành định hướng, phân tích rủi ro sơ bộ với mục đích xác định tài sản quan trọng và lựa chọn các phương pháp phân tích và thường dưới dạng phân tích định tính và sau đó phân tích chi tiết có thể là định tính, bán định lượng hoặc định lượng, theo khả năng và nhu cầu của các nhà đánh giá (luôn luôn tốt hơn để thực hiện phân tích nhiều hơn bởi các chuyên gia độc lập, như đã đề cập ở trên).

Sau khi phân chia cơ sở hạ tầng quan trọng thành các cụm nhỏ (tài sản) và thiết lập phân tích định hướng (định lượng) có thể thực hiện để xác định rủi ro trong một đơn vị nhỏ hơn cho trước. Xác định rủi ro có thể được thực hiện bằng cách tự đánh giá, nếu như kinh nghiệm và thực hành cho phép hoặc có thể sử dụng một số phương pháp liên quan đến đánh giá nhiều hơn, chẳng hạn phương pháp Brainstor (động não), phương pháp Delphi (phương pháp phỏng vấn mục tiêu), xu hướng ngoại suy, phương pháp kịch bản, phương pháp Heuristic, thảo luận bảng, phương pháp tương tự, phương pháp so sánh và các phương pháp khác.

Khi xác định rủi ro chúng ta lần lượt trên cơ sở thiết lập các mục tiêu và trước tiên xác định các rủi ro về thủ tục, tức là tìm kiếm các rủi ro gây ra bởi yếu tố con người và những rủi ro này được coi là nhiều nguy hiểm hơn so với các nguy cơ sau đó được xác định về cấu trúc (xây dựng), trước hết tác động bởi lỗi kỹ thuật, hoặc cấu trúc. Ví dụ như việc đánh giá sự mất an toàn của cơ sở hạ tầng quan trọng có thể dẫn đến việc đánh giá rủi ro xuất hiện ở phạm vi bên ngoài và bên trong cơ sở hạ tầng quan trọng, trong các giai đoạn tiếp theo của việc xác định rủi ro của hệ thống bảo vệ truyền thống và hệ thống bảo vệ cơ học, nguy cơ mất an toàn điện và điện tử, rủi ro của sự bảo vệ chế độ, bảo vệ thể chất, bảo hiểm và các rủi ro còn lại.

Khi xác định rủi ro của việc bảo vệ người và tài sản trong cơ sở cơ sở hạ tầng quan trọng về thủ tục tái tìm kiếm các rủi ro xuất hiện trong quá trình cụ thể phát sinh trong quá trình kinh doanh và môi trường cụ thể. Ví dụ từ sự tức giận của nhân viên hoặc khách hàng sẽ mang vào cơ sở hạ tầng quan trọng chất nổ, gây tổn hại các sản phẩm mà về mặt ý nghĩa nó gây tổn hại đến uy tín của công ty v.v... Vì vậy với mục đích có thể nắm bắt tất cả các biến thể của rủi ro chúng ta sẽ đánh giá và phân loại chúng thành nhóm thủ tục và cấu trúc, và sau đó trong các tiểu biến thể này loại chúng ta thực hiện cả việc đánh giá những rủi ro này với sự chú ý rằng những rủi ro về thủ tục nhiều nguy hiểm hơn so với những nguy cơ về cấu trúc.

Khi đánh giá quá trình rủi ro về lĩnh vực bảo vệ con người và tài sản (an ninh) trong các cơ sở hạ tầng quan trọng chúng ta có thể sử dụng cả một số phương pháp điểm (ví dụ như FMEA), thường chỉ được sử dụng khi đánh giá rủi ro công nghiệp đối với rủi ro về cấu trúc. Lựa chọn các phương pháp sử dụng chỉ là một khuyến nghị liên quan đến các chi tiết cụ thể về cái gọi là bảo vệ thể chất của cơ sở cơ sở hạ tầng quan trọng. Cho đến nay phần lớn việc xác định rủi ro của sự bảo vệ thể chất vẫn chỉ được đánh giá về mặt chất lượng, tức là bởi một bài bình luận, trên cơ sở kết quả của phương pháp định tính (WHAT IF, SWOT) hoặc hoàn toàn không sử dụng các phương pháp nào, mà chỉ bằng các bài bình luận trên cơ sở nhận định thực tế việc đánh giá. Đối với rủi ro cấu trúc, cụ thể là trong quá trình công nghệ người ta đã sử dụng các bảng, như là giới hạn của sự mệt mỏi, giới hạn độ bền, giới hạn của bất cứ điều gì, và họ có thể dựa trên cơ sở các giá trị đo lường và tính toán để chỉ định một chỉ số ước đoán cụ thể và tương tự.

Đối với hành vi trộm cắp chúng ta không thể xác định từ các bảng giá trị chỉ số chính xác, bởi vì không thể đo lường sự bất mãn của nhân viên mang chất nổ đến cơ sở hạ tầng quan trọng, nhưng chúng ta có thể ước tính các chỉ số này từ số liệu thống kê và thực tế, đúng theo phương pháp bán định lượng. Có thể nói rằng, rủi ro về cấu trúc có thể xác lập được chỉ số chính xác (ví dụ bằng cách sử dụng bước đột phá an toàn) và không một thủ tục nào kể cả lý do, tại sao bằng cách nào đó việc sử dụng các phương pháp điểm định lượng đối với rủi ro cấu trúc lại kém chính xác hơn. Mặc dù vậy, việc đánh giá rủi ro thủ tục bằng phương pháp bán định lượng được thực hiện với một mức độ nhất định trên cơ sở kỹ thuật, cá nhân và kiến thức thực tế, chúng ta thừa nhận ở đây một mức độ sai lầm nhất định. Sử dụng phương pháp điểm bán định lượng đối với rủi ro thủ tục sẽ ít chính xác hơn, nhưng khoảng kết quả sẽ chắc chắn chính xác hơn so với việc chỉ dùng lời nhận xét để đánh giá, như hiện nay đang xảy ra. Từ quan điểm thực tế có thể sử dụng phương pháp bán định lượng đối với rủi ro quá trình so sánh với việc sử dụng con dao nhà bếp để nới lỏng các ốc vít chữ thập. Con dao là một công cụ không được sử dụng để nới lỏng các ốc vít, nhưng nếu như chúng ta không có một công cụ nào khác, nó sẽ đáp ứng mục đích của mình với một số hạn chế tiện nghi đối với một số loại ốc vít cũng như con dao này. Tương tự như vậy có thể sử dụng phương pháp đánh giá rủi ro được sử dụng cho các mục đích khác như một công cụ với thực tế là chúng ta sẽ nhận ra sự không tiện nghi xác định.

Để phân tích rủi ro ví dụ có thể sử dụng các phương pháp xác định rủi ro, cụ thể là ứng dụng phương pháp đồ họa mô hình phân tích rủi ro. Ví dụ áp dụng phương pháp "cây lỗi" (FTA), hoặc phương pháp hoặc "xương cá", hay còn gọi là sơ đồ Ishikawa của các nguyên nhân và hậu quả. Để tính toán, đánh giá xác định rủi ro có thể đề xuất phương pháp "thất bại và tác động của chúng" (FMEA). Giải pháp được nắm bắt trước tiên bằng quy trình về khía cạnh quá trình xảy ra trong các hệ thống và trong các hệ thống con của cơ sở hạ tầng quan trọng và bằng quá trình tiếp theo về khía cạnh cấu trúc, đó là sự bảo vệ xung quanh, bảo vệ phần vỏ bọc của các tòa nhà, bảo vệ không gian và bảo vệ đối tượng. Kết quả của sự phân tích này còn được đánh giá bằng "nguyên lý Paretov 80/20" và được biểu diễn bằng "đường cong Lorenz". Kết quả của sự phân tích này được xác minh bằng các tính toán tiếp theo theo phương pháp "đồng dạng". Nói chung toàn bộ quá trình phân tích rủi ro của sự bảo vệ thể chất của cơ sở hạ tầng quan trọng có thể được tóm tắt như sau:

1. Xác định các đặc tính nguy hiểm và các mối nguy khi sử dụng các phương pháp sàng lọc để xác định các yếu tố đặc trưng và xác minh chúng.

2. Phân chia hệ thống thành các đơn vị nhỏ hơn. Xác định tài sản. Đánh giá sơ bộ chất lượng.

3. Định hướng sơ bộ phân tích rủi ro và lựa chọn phương pháp.

4. Xác định rủi ro và mô hình hóa các rủi ro đối với quá trình và phương pháp tiếp cận cấu trúc và xác định ngưỡng chấp nhận đối với sự tương tác của những rủi ro cá nhân.

5. Đánh giá rủi ro bằng phương pháp định lượng hoặc phương pháp bán định lượng đối với các vấn đề ưu tiên và mục đích. Các kết quả sau đó được so sánh theo sự chấp nhận được (ví dụ như một theo định lượng và hai hoặc nhiều hơn theo bán định lượng, hoặc bổ sung thêm phương pháp trong phần mềm).

6. Đánh giá rủi ro bao gồm những hậu quả đặc trưng và tính toán của chúng. Sau đó, xác định xác suất và tính toán chúng kể cả xem xét sự tương tác.

7. Số liệu thống kê có sẵn so sánh với kết quả của một số phân tích. Chọn những rủi ro được xác định, mà chúng đã được đánh giá như là sự nghiêm trọng nhất trong một số phương pháp cũng như trong các dữ liệu thống kê.

8. Đề xuất đối với các rủi ro đã lựa chọn này sự giảm thiểu đến giới hạn chấp nhận được với chi phí tối ưu. Rủi ro cần phải giảm thiểu đến một mức độ nhất định, khi mà chi phí để giảm thiểu rủi ro trở nên không cân xứng khi so sánh với hạn chế rủi ro tương ứng (nguyên lý ALARA).

4. Phân tích định nghĩa về lỗi của con người đối với việc bảo vệ thể chất cơ sở hạ tầng quan trọng

Có thể trong giai đoạn tiếp theo (tùy chọn) khi đánh giá sự bảo vệ thể chất của cơ sở cơ sở hạ tầng quan trọng người ta vẫn còn quan tâm đến sự bảo vệ chế độ và bảo vệ thể chất để xác định lỗi của con người. Người ta nói đến sự đàm phán hoặc cố gắng đàm phán, mà khi đó chúng đã vượt quá giá trị giới hạn của các tham số cho trước về lỗi của con người. Điều này có thể xảy ra do lỗi hay sự thiếu tập trung tạm thời, khi mà ý định của con người là đúng, nhưng thủ tục không chính xác hoặc sự đào tạo và hướng dẫn không đầy đủ, khi không chú ý đến sự bảo mật, họ không biết làm gì hoặc nghĩ rằng họ biết nhưng thực sự lại không biết. Những sai lầm của loại này là rất nguy hiểm, bởi vì "họ đã quyết định sai". Tiếp theo lỗi bị gây ra bởi thiếu thể chất hoặc tinh thần không thích hợp để bảo vệ khả năng an ninh đối với hoạt động cho trước. Sau đó, cũng có các lỗi gây ra do thiếu động lực hoặc thiếu sự cẩn thận trong việc quyết định tuân thủ theo chỉ thị (thường người ta gọi đó là hành vi phạm tội, nhưng các lỗi này thường xuất hiện do sự ước tính sai lầm tình hình với sự lựa chọn sau đó các chỉ thị sai lầm và thủ tục không chính xác) và cuối cùng là sự quản lý các lỗi (kế hoạch được xây dựng không phù hợp, việc đào tạo hướng dẫn không đầy đủ, không sử dụng kinh nghiệm từ những sai lầm trước đây và các hành vi tương tự v.v...).

Định lượng sự thất bại của con người và ước tính xác suất khả năng thất bại của con người có thể được thực hiện với giả thiết rằng các dự đoán chủ yếu dựa trên các dữ liệu chung chung, được hỗ trợ bởi số liệu thống kê. Kết quả xác suất thất bại bao gồm những thất bại cơ bản của con người. Định lượng có thể được hỗ trợ bằng thực nghiệm. Tính toán xác suất lỗi của con người dựa trên giả định rằng lỗi này sẽ xảy ra ở mức tương tự như trong quá khứ và một phần của sự đánh giá dự đoán không chắc chắn.

Phương pháp định lượng lỗi của con người có rất nhiều, có thể lấy ví dụ như phương pháp phân tích thống kê ước đoán chủ quan, phương pháp so sánh cặp đôi, phương pháp TESE, phương pháp THERP, phương pháp ASEP, phương pháp HEART, phương pháp đồ thị phụ thuộc IDA, phương pháp SLIM, phương pháp tương quan HCR, cơ sở dữ liệu của các đặc điểm định lượng sự can thiệp của con người NUCLARR và nhiều phương pháp khác. Từ thực tế có thể nhờ sự đơn giản hóa cho phép giới thiệu phương pháp TESEO, nó xác định độ tin cậy các yếu tố của con người bằng 5 yếu tố phụ thuộc lẫn nhau. Đó là yếu tố loại hoạt động (thực hiện hành động), tiếp đến là theo yếu tố các điều kiện và thời gian (các điều kiện đặc biệt và điều kiện thích hợp), yếu tố phẩm chất cá nhân, yếu tố lo lắng, sự mệt mỏi và căng thẳng và yếu tố ergonomic (khoa nghiên cứu về lao động).

Kết quả có thể được đọc từ các bảng dựa trên tích số của chỉ số cũng được đọc từ các bảng đối với từng yếu tố. Nếu như tích số của tất cả 5 kết quả giá trị số học đạt được lớn hơn 1, giả định rằng, sẽ xảy ra lỗi hệ thống, đó là một sự kiện đặc biệt. Nếu kết quả nằm trong khoảng 0,7 đến 0,9, tồn tại khả năng xảy ra tình huống khẩn cấp, nằm trong phạm vi trong khoảng giữa 0 và 0,6 sẽ không có trường hợp khẩn cấp xảy ra.

Sự xuất hiện lỗi của con người cũng có thể có ảnh hưởng của môi trường và sự tương tác với các đối tượng bảo vệ thể chất xung quanh. Để đánh giá các ảnh hưởng này cho phép sử dụng phương pháp SHELL. Trong đó S – phần mềm: thủ tục, biểu tượng, v.v..., H - phần cứng: máy móc, ví dụ cụm bảo vệ trung tâm, E - môi trường, trong đó công tác an ninh được thực hiện trong dải S-H-L,             L - tượng trưng cho con người, cá nhân trong trọng tâm vấn đề và L tiếp theo - cho thấy người kế tiếp, mà trong công tác bảo vệ gặp phải. Trong khi phân tích sẽ xem xét các tác động của từng yếu tố (từng chữ cái) lên con người. Đó là ảnh hưởng của khách hàng đến an ninh (L-L), ảnh hưởng của các thiết bị màn hình lên con người hay tác động của ghế lên hiệu suất làm việc của người điều khiển (L-H), cũng có thể nói về các mối quan hệ và ảnh hưởng của con người và khía cạnh phi vật chất, ví dụ như hướng dẫn sử dụng mà an ninh có thể sử dụng, ảnh hưởng của danh mục dữ liệu (L-S) v.v...

5. Phương pháp xác định trọng lượng khi đề xuất để giảm thiểu rủi ro đến mức thấp nhất

Trong thực tế có thể sử dụng cả các công cụ khác, chẳng hạn như "xác định trọng lượng (ưu tiên) khi đề xuất mức giảm thiểu rủi ro". Phương pháp xác định trọng lượng có thể được chia theo các thông tin cần thiết cho việc xác định trọng lượng. Các tiêu chí càng quan trọng bao nhiêu, thì chúng ta cần phải phân bố trọng lượng lớn bấy nhiêu. Trọng lượng, ở đây là sự ưu tiên, luôn luôn được chọn sao cho tổng trọng lượng của tất cả các tiêu chí là bằng 1. Chúng ta có thể nói về việc thiết lập trọng lượng các tiêu chí, không có thông tin về sự ưu tiên của các tiêu chí, khi mà người nghiên cứu không thể quyết định về tầm quan trọng của các tiêu chí để đánh giá các biến thể và đối với từng tiêu chí được sắp xếp cùng một trọng lượng.

Bằng biến thể khác người ta xác định trọng lượng theo thứ tự thông tin về các biến thể ưu tiên, khi người nghiên cứu có thể xác định thứ tự quan trọng của các biến thể và ở đây có thể áp dụng phương pháp thứ tự, trong đó các biến thể giảm dần theo tầm quan trọng của chúng, hoặc phương pháp so sánh cặp đôi (phương pháp Fuller), trong đó lần lượt so sánh mỗi tiêu chí với nhau và xác định tiêu chí nào trong cặp là quan trọng hơn.

Bằng biến thể cuối cùng người ta xác định trọng lượng từ thông tin về tiêu chí ưu tiên, trong đó các nhà lãnh đạo có thể không chỉ xác định thứ tự quan trọng, mà còn cả tỷ lệ quan trọng giữa từng tiêu chí và sử dụng hoặc phương pháp chấm điểm, trong đó tầm quan trọng của các tiêu chí được đánh giá bằng số điểm từ 1 khoảng thời gian định trước. Tiêu chí càng quan trọng bao nhiêu, thì số điểm được chỉ định sẽ nhiều bấy nhiêu, hoặc theo sự phân bổ Metfessel 100 điểm, trong đó tầm quan trọng của tiêu chí được đánh giá bằng tổng số điểm, khi mà tổng của tất cả các điểm này phải bằng 100. Cũng có thể sử dụng phương pháp so sánh cặp đôi định lượng (phương pháp Saty), trong đó sẽ so sánh mỗi tiêu chí trong cặp với nhau. Ngoài việc lựa chọn các tiêu chí ưu tiên cũng sẽ xác định đối với mỗi cặp tiêu chí giá trị của sự ưu tiên này.

6. Kết luận

Các phương pháp định tính được sử dụng chủ yếu do thói quen. Các phương pháp phân tích định lượng và bán định lượng ngày nay ít được sử dụng trong các hệ thống quản lý rủi ro. Vấn đề nghiên cứu quản lý rủi ro bằng cách bảo vệ thể chất cơ sở hạ tầng quan trọng đến nay ít được sử dụng trong hệ thống quản lý rủi ro. Ở đây chúng ta chủ yếu tập trung vào các phương pháp phân tích rủi ro được áp dụng để xác định và xem xét rủi ro của các hành vi vi phạm pháp luật xảy ra đặc biệt trong việc bảo vệ thể chất của các đối tượng của cơ sở hạ tầng quan trọng. Chúng ta cũng làm quen với sự đánh giá và phân loại các yếu tố con người trong hệ thống và với tầm quan trọng của các mối đe dọa và hiện tượng trong cơ sở hạ tầng quan trọng. Nhiều phương pháp đánh giá rủi ro được áp dụng không chỉ trong lĩnh vực công nghệ tập trung mà còn đối với lĩnh vực hàng không và an toàn công trình được nêu ra và họ hiếm khi được sử dụng trong việc đánh giá bảo vệ thể chất của cơ sở hạ tầng quan trọng. Vì vậy ở đây cung cấp các giải pháp thay thế và các phương pháp trong hệ thống quản lý rủi ro với các ứng dụng của mỗi phương pháp bắt nguồn từ lĩnh vực an toàn khác .