Zarządzanie kryzysowe w praktyce

Co to jest infrastruktura krytyczna?

Lekcja 4. Ochrona infrastruktury krytycznej

Definicja oraz zadania realizowane w zakresie ochrony IK

Wrażliwość wyłonionej według obowiązujących kryteriów infrastruktury krytycznej na szereg poznanych w lekcji trzeciej zagrożeń mających wpływ na jej bezpieczeństwo wymaga zapewnienia jej odpowiedniej ochrony. W Polsce kwestie związane z ochroną IK uregulowane zostały w ustawie z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, która określa m. in. tryb wyłaniania obiektów IK, zadania i obowiązki w zakresie ich ochrony oraz zasady współpracy administracji i podmiotów gospodarczych na rzecz tej ochrony.

W ustawie ochrona IK zdefiniowana została jako:

„wszelkie działania zmierzające do zapewnienia funkcjonalności, ciągłości działań i integralności infrastruktury krytycznej w celu zapobiegania zagrożeniom, ryzykom lub słabym punktom oraz ograniczenia i neutralizacji ich skutków oraz szybkiego odtworzenia tej infrastruktury na wypadek awarii, ataków oraz innych zdarzeń zakłócających jej prawidłowe funkcjonowanie”.

Ustawodawca określił również zadania jakie powinny być realizowane w zakresie ochrony infrastruktury krytycznej, obejmują one następujące przedsięwzięcia:

gromadzenie i przetwarzanie informacji dotyczących zagrożeń infrastruktury krytycznej;
opracowywanie i wdrażanie procedur na wypadek wystąpienia zagrożeń infrastruktury krytycznej;
odtwarzanie infrastruktury krytycznej;
współpracę między administracją publiczną a właścicielami oraz posiadaczami samoistnymi i zależnymi obiektów, instalacji lub urządzeń infrastruktury krytycznej w zakresie jej ochrony.

Formy ochrony IK

Skuteczność ochrony infrastruktury krytycznej wymaga elastycznego oraz kompleksowego podejścia z uwzględnieniem oceny ryzyka wystąpienia wszystkich rodzajów rozpoznanych zagrożeń. Jako dobry standard przyjęto zastosowanie w ochronie IK następujących form ochrony:

ochrona fizyczna – rozumiana jako zespół działań organizacyjnych i technicznych mających na celu minimalizację ryzyka zakłócenia funkcjonowania IK w następstwie działań osób, które w sposób nieautoryzowany podjęły próbę wejścia lub znalazły się na terenie IK;
ochrona techniczna – rozumiana jako zespół działań organizacyjnych i technicznych mających na celu minimalizację ryzyka zakłócenia funkcjonowania IK w następstwie zaburzenia realizowanych procesów technologicznych;
ochrona osobowa – rozumiana jako zespół działań organizacyjnych i technicznych mających na celu minimalizację ryzyka zakłócenia funkcjonowania IK w następstwie działań osób, które posiadają uprawniony dostęp do infrastruktury krytycznej;
ochrona teleinformatyczna - rozumiana jako zespół działań organizacyjnych i technicznych mających na celu minimalizację ryzyka zakłócenia funkcjonowania IK w następstwie nieautoryzowanego oddziaływania na aparaturę kontrolną oraz systemy i sieci teleinformatyczne;
ochrona prawna – rozumiana jako zespół działań organizacyjnych i technicznych mających na celu minimalizację ryzyka zakłócenia funkcjonowania IK w następstwie prawnych działań podmiotów zewnętrznych;
plany odtwarzania – rozumiane jako zespół działań organizacyjnych i technicznych prowadzących do odtworzenia funkcji realizowanych przez IK.

Powyższe formy ochrony powinny być stosowane w sposób łączny, przy czym w zależności od rezultatów oceny ryzyka wystąpienia poszczególnych zagrożeń nie każda z nich będzie mogła mieć zastosowanie we wszystkich systemach IK. Oznacza to, że w przypadku niewielkiego ryzyka nie występuje konieczność zastosowania wszystkich form ochrony.

Główny ciężar odpowiedzialności za ochronę infrastruktury krytycznej zgodnie z ustawą spoczywa na właścicielach oraz posiadaczach samoistnych i zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej. Mają oni obowiązek ich ochrony, w szczególności poprzez przygotowanie i wdrażanie, stosownie do przewidywanych zagrożeń, planów ochrony infrastruktury krytycznej oraz utrzymywanie własnych systemów rezerwowych zapewniających bezpieczeństwo i podtrzymujących funkcjonowanie tej infrastruktury, do czasu jej pełnego odtworzenia.

Mając na uwadze potencjalne skutki zniszczenia bądź zakłócenia funkcjonalności obiektów infrastruktury krytycznej dla ludzi, środowiska lub gospodarki ustawodawca przewidział także zadania w zakresie ochrony IK dla podmiotów administracji publicznej. Konieczność wsparcia operatora w likwidacji skutków dysfunkcjonalności IK nie ulega wątpliwości, zatem zadania realizowane w zakresie jej ochrony powinny być realizowane na wszystkich szczeblach administracji zarówno rządowej jak i samorządowej.

Wszelkie działania podejmowane w celu zapewnienia ochrony infrastruktury krytycznej powinny być proporcjonalne do poziomu ryzyka zakłócenia jej funkcjonowania. Dotyczy to zarówno przyjętego modelu ochrony IK, jak i jej form oraz także użytych sił i środków. Powinien to być element kluczowy, determinujący i uzasadniający działania podejmowane w celu obniżenia ryzyka zakłócenia funkcjonowania IK do poziomu akceptowalnego.

Prawidłowa ocena ryzyka powinna być podstawą dla określenia standardów ochrony IK oraz dla ustalenia priorytetów planowanych działań. W dokumencie zatytułowanym ”Narodowy Program Ochrony Infrastruktury Krytycznej” ryzyko określone zostało jako funkcja zagrożenia, podatności oraz skutków.

Ocena ryzyka wymaga jego akceptacji przez operatora IK lub jej właściciela. Akceptując ryzyko operator IK lub jej właściciel powinni uwzględnić najgorszy możliwy scenariusz.

Ocena ryzyka zakłócenia funkcjonowania infrastruktury krytycznej powinna odbywać się okresowo:

podczas identyfikacji nowych zagrożeń, które wpływają lub mogą wpłynąć na poprawne funkcjonowanie infrastruktury krytycznej,
podczas aktualizacji planu ochrony infrastruktury krytycznej,
w celu zapewnienia zgodności ze wszystkimi dokumentami rządowymi.

Z kolei zależności pomiędzy zagrożeniem, podatnością i skutkami przedstawione zostały na rysunku obok.

Przejdź do kolejnego rozdziału

Narodowy Program Ochrony Infrastruktury Krytycznej 15min

lub

Rozpocznij test