Definiowanie organizacyjnych, technicznych i kontrolno-weryfikacyjnych środków ochrony infrastruktury krytycznej
Po rozpoznaniu i wyznaczeniu systemów należących do infrastruktury krytycznej należy zdefiniować, na podstawie określonych wymagań bezpieczeństwa oraz przeprowadzonej analizy ryzyka, środki ochrony pozwalające na przeciwdziałanie zagrożeniom zniszczenia, uszkodzenia bądź zakłócenia ich funkcjonowania.
Zabezpieczenie infrastruktury krytycznej związane jest bezpośrednio z analizą ryzyka stanowiącą etap zarządzania ryzykiem polegający na stałym monitorowaniu jej elementów i zmniejszaniem możliwych dla nich niekorzystnych zdarzeń poprzez estymacje wartości ryzyka, odnoszącego się do stanu systemów infrastruktury krytycznej[1],[2].
Ten całościowy proces identyfikacji, kontrolowania i eliminacji lub minimalizowania prawdopodobieństwa zaistnienia zdarzeń, które mogą mieć wpływ na poszczególne systemy infrastruktury krytycznej, wymaga zdyscyplinowanego, konsekwentnego i rzetelnego podejścia. Pozwoli to ostatecznie na unikanie ryzyka, podejmowanie działań prewencyjnych, czy też jego przenoszenie lub dywersyfikację. Działania te stanowią bazowe strategie przeciwdziałania ryzyku, przez co rezultaty analizy ryzyka w oparciu o zidentyfikowane zagrożenia i wymagania bezpieczeństwa wprost przekładają się na dobierane środki ochrony [3],[4],[5],[6].
Warto podkreślić, że zarządzanie ryzykiem jest procesem, składającym się ze ściśle określonych, następujących po sobie i wzajemnie się determinujących etapów, tworzących jednocześnie powtarzający się cykl, w którym istotnym elementem jest stałe komunikowanie wszelkich pojawiających się ryzyk. Efekty podjętych działań i wypracowanych materiałów w ramach jednego etapu stanowią źródło danych dla kolejnego kroku w cyklu zarządzania ryzykiem. Istotne jest, że wybrane procesy, takie jak identyfikacja i analiza ryzyka odbywają się w sposób ciągły.
Dla poszczególnych systemów wchodzących w skład infrastruktury krytycznej należy sformułować, odpowiednio do wyników analizy ryzyka, środki zabezpieczeń w obszarze organizacyjnym, technicznym i kontrolno-weryfikacyjnym w odniesieniu do każdego z atrybutów bezpieczeństwa, tj. dostępności, integralności i poufności.
Właściwe rozpoznanie zagrożeń i ocena związanego z nimi ryzyka zakłócenia lub zniszczenia systemów istotnych z punktu widzenia życia obywatela i działania organów administracji stanowi podstawę wdrożenia wybranych środków ochrony elementów infrastruktury krytycznej. Poszczególne rodzaje zabezpieczeń powinny być wzajemnie skorelowane w sposób umożliwiający skuteczne przeciwdziałanie zagrożeniom. Nie mniej ważne jest również odpowiednie konstruowanie systemów infrastruktury krytycznej w sposób pozwalający na świadczenie minimalnych usług nawet w przypadku poważanych awarii spowodowanych niezamierzonym lub celowym działaniem człowieka lub sił natury.
Artykuł o podobnej treści ukazał się pod tytułem Metody rozpoznawania, wyznaczania i projektowania infrastruktury krytycznej na potrzeby ochrony ludności oraz zapewnienia funkcjonowania organów administracji, Biuletyn Informacyjny, Towarzystwo Wiedzy Obronnej Zarząd Okręgowy , ROK XVI 2/60 - czerwiec 2011, str. 5-23, Bydgoszcz 2011 oraz w Wiedza Obronna, Kwartalnik Towarzystwa Wiedzy Obronnej , ROK XXXVIII, nr 2 /237/, str. 106-121, Warszawa 2011.
[1] ISO 31000:2009 Risk Management - Principles and Guidelines.
[2] ISO/IEC 27005 Information technology - Security techniques - Information security risk management.
[3] PN-ISO/IEC 27001:2007 Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania.
[4] PN-EN 50133-1:2007 Systemy alarmowe - Systemy kontroli dostępu w zastosowaniach dotyczących zabezpieczenia - Część 1: Wymagania systemowe.
[5] PN-E-08350-14: 2002 Systemy sygnalizacji pożarowej. Projektowanie, zakładanie, odbiór, eksploatacja i konserwacja instalacji.
[6] PN-EN 50133-7: 2002 Systemy alarmowe. Systemy kontroli dostępu stosowane w zabezpieczeniach. Część 7: Zasady stosowania.
