blog.jpg

Zabezpieczenia infrastruktury krytycznej

Proces definiowania zabezpieczeń infrastruktury krytycznej

Przeciwdziałanie zagrożeniom zniszczenia, uszkodzenia bądź zakłócenia funkcjonowania systemu kluczowego dla bezpieczeństwa państwa i jego obywateli, wskazanego jako element infrastruktury krytycznej, wymaga wdrożenia stosownych zabezpieczeń. Podstawowym działaniem pozwalającym na wskazanie odpowiedniego systemu bezpieczeństwa jest przeprowadzenie analizy ryzyka i przedłożenie jej wyników na wdrażane środki ochrony. Istotne jest również stałe monitorowanie danego systemu i jego otoczenia, w celu bieżącej identyfikacji, kontroli i eliminacji lub minimalizowania prawdopodobieństwa zaistnienia zdarzeń, które mogą mieć negatywny wpływ na dany system infrastruktury krytycznej. Takie zdyscyplinowane, konsekwentne i rzetelne podejście pozwala ostatecznie na unikanie ryzyka, podejmowanie działań prewencyjnych, czy też przenoszenie ryzyka lub jego dywersyfikację, a także dobieranie właściwych pod względem potrzeb środków ochrony w trakcie eksploatacji systemu należącego do infrastruktury krytycznej [1],[2].

W procesie definiowania środków ochrony niezbędnych dla zabezpieczenia właściwego funkcjonowania systemu infrastruktury krytycznej można wyróżnić kilka następujących po sobie działań, których realizacja determinuje dobór środków ochrony w fazie ich wdrożenia i eksploatacji systemu, odpowiednio do zidentyfikowanych potrzeb wynikających z uzyskanych wyników analizy ryzyka.

Model pokazujący proces wyznaczania środków ochrony dla systemu infrastruktury krytycznej zobrazowano na rysunku nr 1. Po rozpoznaniu i wyznaczeniu określonego systemu do infrastruktury krytycznej (działanie 1), następuje faza analizy ryzyka (działanie 2) pozwalająca na wybór zabezpieczeń stosownie do uzyskanych ryzyk. Po wdrożeniu systemu bezpieczeństwa (działanie 3) następują powtarzające się, przez cały okres życia danego systemu należącego do infrastruktury krytycznej, działania stałego identyfikowania zagrożeń i oceny skuteczności wdrożonych środków zabezpieczających (działanie 4), które stanowią podstawę do wykonania kolejnej analizy ryzyka (działanie 2), w celu  weryfikacji wdrożonych środków ochrony i ewentualnego wdrożenia nowych zabezpieczeń lub modyfikacji, czy też redukcji już istniejących (działanie 3).

Proces wyznaczania środków ochrony dla systemu infrastruktury krytycznej
W przedstawionym powyżej modelu ochrony systemu infrastruktury krytycznej najważniejszym elementem jest analiza ryzyka przed wdrożeniem środków zabezpieczających i zarządzanie nim podczas eksploatacji (działanie 2), w ramach których wskazuje się zagrożenia wymagające zabezpieczeń, co umożliwia dobór odpowiedniego systemu bezpieczeństwa zbudowanego m.in. w oparciu o środki ochrony pokazane w tabeli nr 1. Wybrane zabezpieczenia elementów infrastruktury krytycznej powinny być adekwatne do zdefiniowanych wymagań ochrony w odniesieniu do podstawowych atrybutów bezpieczeństwa, takich jak [3]:

  • Dostępność - rozumianą jako pewność, że funkcja określonego systemu wchodzącego w skład infrastruktury jest dostępna wtedy, kiedy jest potrzebna.
  • Integralność - rozumianą jako zapewnienie dokładności i kompletności realizowanych funkcji systemu wchodzącego w skład infrastruktury, zgodnie z oczekiwaniami użytkownika, w tym potrzebami państwa i jego obywateli, a także instytucji i przedsiębiorców.
  • Poufność - rozumianą jako pewność, że funkcje określonego systemu wchodzącego w skład infrastruktury są dostępne wyłącznie dla uprawnionych osób, podmiotów i procesów.
Wdrożone zabezpieczenia techniczne, fizyczne i organizacyjne oraz czas reakcji na zagrożenia powinny być ze sobą wzajemnie skorelowane w sposób umożliwiający skuteczne przeciwdziałanie pojawiającym się niepożądanym zdarzeniom. Wynika to z faktu, że zbyt skomplikowany system bezpieczeństwa infrastruktury krytycznej może udaremniać próbę zniwelowania zagrożenia i pozwolić na rozprzestrzenianie się skutków w wyniku jego rzeczywistego zaistnienia.
Istotnym elementem w procesie doboru środków ochrony jest uwzględnienie kosztów jednostkowych poszczególnych zabezpieczeń w fazie ich wdrożenia i eksploatacji. Wynika to z faktu, że nakłady związane z wdrożeniem i utrzymywaniem danego zabezpieczenia przeciwdziałającego określonym zagrożeniom mogą być różne w zależności od rodzaju wybranego środka ochrony. Przykładowo, zapobieganie zagrożeniu nieuprawnionego dostępu do obiektu stanowiącego część infrastruktury krytycznej można uzyskać poprzez wdrożenie elektronicznych systemów kontroli dostępu lub poprzez implementację odpowiednich procedur i  dozoru fizycznego obiektu, czy też poprzez prowadzenie monitoringu wizyjnego. Niewątpliwie każde z tych rozwiązań pomimo swoich zalet i wad różni się zasadniczo w nakładach niezbędnych do ich wdrożenia i utrzymania w kolejnych latach użytkowania.

Ważnym elementem w procesie definiowania środków ochrony, wynikających z rezultatów przeprowadzonej analizy ryzyka (w ramach działania 2), jest uwzględnienie następujących działań, których rzetelne wykonanie pozwoli na właściwy dobór systemu bezpieczeństwa:

  • Określenie wymagań bezpieczeństwa dla środków ochrony odpowiadających zidentyfikowanym zagrożeniom wymagającym zabezpieczeń.
  • Opracowanie architektury systemu bezpieczeństwa uwzględniającej wielomodułowość zabezpieczeń wzajemnie się uzupełniających i wspierających.
  • Ustalenie składowych systemu bezpieczeństwa w zakresie rodzaju środków zabezpieczających i wyboru konkretnych zabezpieczeń.
  • Określenie zasad funkcjonowania zabezpieczeń odpowiednio do poszczególnych atrybutów bezpieczeństwa i rodzaju środków ochrony.
  • Opracowanie infrastruktury zarządzania środkami ochrony.
  • Ustalenie wymagań i odpowiedzialności personelu obsługi odpowiedzialnego za utrzymanie wysokiego poziomu bezpieczeństwa oraz prawidłowego funkcjonowania systemu zabezpieczeń.
  • Wskazanie odpowiedniej infrastruktury organizacyjnej oraz zapewnienie merytorycznego przygotowania zespołu zarządzającego - w strukturze organizacyjnej instytucji, w której kompetencji jest dany system wyznaczony do infrastruktury krytycznej powinny istnieć stanowiska (lub przydzielone dodatkowe funkcje) bezpośrednio odpowiedzialne za obsługę i nadzorowanie systemu zabezpieczeń.
  • Przeprowadzenie analizy bezpieczeństwa systemu zabezpieczeń pod względem spełnienia sformułowanych wcześniej wymagań i w razie konieczności dokonanie stosownych modyfikacji.
Przyjęta architektura rozwiązania zabezpieczającego powinna być na tyle elastyczna, aby była możliwa rekonfiguracja środków ochrony odpowiednio do pojawiających się nowych zagrożeń mogących zakłócić lub zniszczyć część systemu infrastruktury niezbędnego do prawidłowego funkcjonowania organów administracji i życia obywateli. 

[1] ISO 31000:2009, Risk Management - Principles and Guidelines.

[2]ISO/IEC 27005, Information technology - Security techniques - Information security risk management.

[3] PN-I-02000:2002 Technika informatyczna - Zabezpieczenia w systemach informatycznych - Terminologia.


Wszelkie prawa zastrzeżone. Kopiowanie, powielanie i wykorzystywanie części lub całości materiałów zawartych na tej stronie w formie elektronicznej lub jakiejkolwiek innej bez zgody Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. zabronione.

Kontakt

Email: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

UWAGA! Ten serwis używa cookies i podobnych technologii.

Brak zmiany ustawienia przeglądarki oznacza zgodę na to.

Zrozumiałem