Metody rozpoznawania i wyznaczania systemów należących do infrastruktury krytycznej
Z uwagi na wysokie koszty zabezpieczenia wszystkich obszarów związanych z funkcjonowaniem państwa i jego obywateli, niezwykle ważne jest właściwe rozpoznawanie, wyznaczanie i projektowanie infrastruktury krytycznej poprzez identyfikowanie poszczególnych elementów wchodzących w jej skład i analizę wymagań dotyczących ich ochrony, a także definiowanie środków zabezpieczeń oraz określanie architektury rozwiązań minimalizujących ryzyko utraty jej integralności.
Obszary wchodzące w skład infrastruktury krytycznej określono w art. 3 Ustawy [1]. Jednocześnie nie wskazano listy konkretnych użytkowanych systemów oraz wchodzących w ich skład powiązanych ze sobą funkcjonalnie obiektów, w tym urządzeń, instalacji, usług kluczowych dla bezpieczeństwa państwa i jego obywateli oraz służących zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców. Wynika to z dynamicznego charakteru usług i związanych z nimi systemów, które mogą tworzyć tą infrastrukturę, a także z faktu, że lista elementów wchodzących w jej skład, jak i szczegółowe kryteria oraz przyjęte progi wyznaczania jej elementów należą do grupy szczególnie chronionych informacji, które w przypadku ujawnienia mogłyby zostać wykorzystane do zaplanowania i przeprowadzenia działań zmierzających do spowodowania zakłócenia lub zniszczenia urządzeń infrastruktury krytycznej.
W dalszej części tego i kolejnych postów przedstawiono propozycję rozpoznawania, wyznaczania i projektowania infrastruktury krytycznej poprzez określenie kryteriów i progów kwalifikowania do niej systemów oraz zdefiniowanie związanymi z nimi wymagań bezpieczeństwa, a także formułowanie na ich podstawie środków ochrony adekwatnych do przeprowadzanej analizy ryzyka.
IDENTYFIKACJA I ANALIZA WYMAGAŃ
Rozpoznawanie i wyznaczanie składników, systemów lub części infrastruktury mającej podstawowe znaczenie dla funkcjonowania państwa oraz jego obywateli z uwagi na swój charakter jest procesem ciągłym. Wynika to zarówno z naturalnego rozwoju społeczeństwa i gospodarki, jak i z wciąż pojawiających się nowych zagrożeń mogących zakłócić lub zniszczyć część infrastruktury niezbędnej do prawidłowego funkcjonowania organów administracji i życia obywateli.
Podstawowym instrumentem ułatwiającym rozpoznawanie i wyznaczanie określonych systemów, należących do poszczególnych sektorów, o których mowa w art. 3 Ustawy [2], do kategorii infrastruktury krytycznej jest rozmiar strat wynikłych z ich zakłócenia lub zniszczenia. Opierając się na Dyrektywie [3] można sformułować pewne wymagania co do ww. strat pozwalające na kwalifikowanie poszczególnych systemów w sposób umożliwiający zaliczenie ich do części infrastruktury krytycznej. W grupie tych wymagań powinny się znaleźć następujące kryteria:
- ofiary w ludziach oceniane w odniesieniu do ewentualnej liczby ofiar śmiertelnych lub liczby rannych;
- skutki ekonomiczne oceniane w odniesieniu do wielkości strat ekonomicznych lub pogorszenia towarów lub usług, w tym potencjalnych skutków ekologicznych;
- konsekwencje społeczne oceniane w odniesieniu do wpływu na zaufanie opinii publicznej, cierpień fizycznych i zakłócenia codziennego życia, w tym utraty podstawowych usług.
Dla poszczególnych kryteriów istotne jest zdefiniowanie progów akceptacji opartych na rozmiarze strat wynikłych z awarii danej infrastruktury należącej do określonego sektora, przy czym należy zaznaczyć, że czynnikiem decydującym o wyznaczeniu danego systemu do kategorii infrastruktury krytycznej nie musi być wymaganie łącznego spełnienia wszystkich wyżej wymienionych przesłanek.
W celu umożliwienia skwantyfikowania progów akceptacji dla ww. kryteriów przyjęto założenie, że:
- ofiary w ludziach będą stanowiły potencjalną liczbę ofiar lub rannych w wyniku jednego lub kilku zdarzeń o koincydencyjnym charakterze;
- straty ekonomiczne będą stanowiły wielkość przeliczoną w odniesieniu do Produktu Krajowego Brutto (PKB);
- konsekwencje społeczne będą określane w odniesieniu do aglomeracji jako obszaru o intensywnej zabudowie, charakteryzującego się dużym zagęszczeniem ludności przebywającej na danym terenie okresowo lub stale oraz dużym przepływem osób i towarów, w tym znaczną wymianą usług.
Przyjmując przedstawioną metodę jako wyznacznik infrastruktury krytycznej można założyć, że jeśli dany system i związane z nim zdarzenie spowodowane niezamierzonym lub celowym działaniem człowieka, czy też siłami natury mogłoby być przyczyną dużych lub średnich strat ekonomicznych, społecznych lub ofiar w ludziach, wówczas system ten należący do któregokolwiek z sektorów, takich jak np.: systemy zaopatrzenia w energię, systemy finansowe i sieci teleinformatyczne, może stanowić część infrastruktury krytycznej.
Dla wyznaczenia infrastruktury krytycznej można posłużyć się poniższym uogólnionym wzorem:
W zależności od potrzeb i charakteru danego systemu można przyjąć różne kryteria i progi akceptacji pozwalające zakwalifikować dany system do infrastruktury krytycznej. W zaproponowanym wzorze założono, że jeśli istnieje zagrożenie Z dla systemu S, które mogłoby spowodować duże straty (SD) w odniesieniu do wszystkich kryteriów (K1, K2, K3) lub małe straty (SM) w ludziach (K1) oraz duże straty (SD) ekonomiczne (K2) i społeczne (K3), wówczas dany system S zaliczono by do infrastruktury krytycznej. Nie oznacza to jednak, że system, dla którego określone zagrożenie mogłoby spowodować średnie straty (SM) w stosunku do ofiar w ludziach (K1) i kryterium społecznego (K3), nie mógłby zostać wskazany jako element infrastruktury krytycznej.
W momencie rozpoznania i wyznaczenia systemów należących do poszczególnych sektorów infrastruktury krytycznej niezbędne jest zdefiniowanie wymagań w zakresie ich ochrony obejmujących podstawowe atrybuty bezpieczeństwa, takie jak [4],[5]:
- Dostępność rozumianą jako pewność, że funkcja określonego systemu wchodzącego w skład infrastruktury jest dostępna wtedy, kiedy jest potrzebna.
- Integralność rozumianą jako zapewnienie dokładności i kompletności realizowanych funkcji systemu wchodzącego w skład infrastruktury, zgodnie z oczekiwaniami użytkownika.
- Poufność rozumianą jako pewność, że funkcje określonego systemu wchodzącego w skład infrastruktury są dostępne wyłącznie dla uprawnionych osób, podmiotów i procesów.
W zależności od sektora stanowiącego część infrastruktury krytycznej należy określić wymagania bezpieczeństwa w odniesieniu do każdego z ww. atrybutów, co pozwoli docelowo, po przeprowadzeniu analizy ryzyka, sformułować odpowiednie środki ochrony.
Właściwe rozpoznanie elementów wchodzących w skład infrastruktury krytycznej w ramach poszczególnych sektorów, a także sformułowanie wymagań bezpieczeństwa, co do ich ochrony pozwala na zaprojektowanie środków zabezpieczeń, które powinny być adekwatne do zidentyfikowanych zagrożeń i ryzyk.
Należy przy tym pamiętać, że bezpieczeństwo całej infrastruktury związane jest z podejmowaniem wszelkich działań zmierzających do zapewnienia funkcjonalności, ciągłości działaniai jej integralności, w celu zapobiegania zagrożeniom oraz ograniczenia i neutralizacji ich skutków.
Wyznaczenie infrastruktury krytycznej jest zadaniem złożonym. Wymaga przede wszystkim wskazania takich składników i systemów, które mają podstawowe znaczenie dla funkcjonowania państwa i jego obywateli. Istotnym elementem jest tutaj
konieczność określenia dla każdego z tych systemów wymagań bezpieczeństwa i tym samym, na ich podstawie oraz w wyniku przeprowadzonej analizy ryzyka, zdefiniowania środków zabezpieczeń. Bez wątpienia pomocnym elementem byłoby uwzględnienie środków ochrony już na etapie projektowania i budowania systemów infrastruktury krytycznej.
Nie można zapomnieć o tym, że rozpoznanie i wyznaczenie określonego systemu jako część infrastruktury krytycznej nie ma permanentnego charakteru. Wynika to z faktu, że mogą zaistnieć takie okoliczności i zdarzenia, które spowodują, że dany system nie będzie już spełniał kryteriów i odpowiadających im progów pozwalających na zakwalifikowanie go do systemów niezbędnych dla zapewnienia bezpieczeństwa państwa i jego obywateli.
Artykuł o podobnej treści ukazał się pod tytułem Metody rozpoznawania, wyznaczania i projektowania infrastruktury krytycznej na potrzeby ochrony ludności oraz zapewnienia funkcjonowania organów administracji, Biuletyn Informacyjny, Towarzystwo Wiedzy Obronnej Zarząd Okręgowy , ROK XVI 2/60 - czerwiec 2011, str. 5-23, Bydgoszcz 2011 oraz w Wiedza Obronna, Kwartalnik Towarzystwa Wiedzy Obronnej , ROK XXXVIII, nr 2 /237/, str. 106-121, Warszawa 2011.
[1] Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz.U. 2007 nr 89 poz. 590 z późn. zm.).
[2] Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz.U. 2007 nr 89 poz. 590 z późn. zm.).
[3] Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony.
[4] ISO/IEC 13335-1:2004 Information technology - Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management.
[5] PN-I-02000:2002 Technika informatyczna - Zabezpieczenia w systemach informatycznych - Terminologia.
[6] Art. 3 Ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz.U. 2007 nr 89 poz. 590 z późn. zm.).
Publikacja jest dostępna na licencji Creative Commons Uznanie autorstwa 4.0 Międzynarodowe, pewne prawa zastrzeżone na rzecz autora i machnacz.eu. Zezwala się na dowolne wykorzystywanie treści publikacji pod warunkiem wskazania autora i podania informacji o licencji.
