Standardy zapewnienia bezpieczeństwa obiektów infrastruktury krytycznej w kontekście zagrożeń terrorystycznych – Rządowe Centrum Bezpieczeństwa

Anna Zasadzińska-Baraniewska – Rządowe Centrum Bezpieczeństwa

28 czerwca br. Międzyresortowy Zespół ds. Zagrożeń Terrorystycznych (MZ ds. ZT) przyjął sprawozdanie Zespołu zadaniowego do spraw opracowania standardów zabezpieczeń antyterrorystycznych i reguł współdziałania dotyczących infrastruktury krytycznej oraz zasad dokonywania sprawdzenia zabezpieczeń obiektów infrastruktury krytycznej zgodnie z przepisami ustawy o działaniach antyterrorystycznych (dalej Zespół zadaniowy), w którym określone zostały minimalne, ujednolicone wymagania w zakresie zapewnienia bezpieczeństwa fizycznego, osobowego oraz teleinformatycznego dla obiektów infrastruktury krytycznej.

Wymagania, sformułowane przez Zespół zadaniowy, zostały opracowane tak, aby ograniczać podatność obiektów IK na możliwość wystąpienia incydentów o charakterze terrorystycznym oraz zwiększyć szansę na skuteczne im przeciwdziałanie. Wprowadzenie ustandaryzowanych wymagań z zakresu zabezpieczeń antyterrorystycznych wpłynie jednocześnie na odporność systemów bezpieczeństwa operatorów IK na innego rodzaju zagrożenia, w tym o charakterze hybrydowym, jak np. sabotaż.

Znaczenie działań w zakresie zapobiegania zagrożeniom o charakterze terrorystycznym dla obiektów infrastruktury krytycznej (IK)[1] zostało podkreślone w „Narodowym Programie Antyterrorystycznym na lata 2015-2019”, w którym wskazano przedsięwzięcia służące podniesieniu skuteczności przygotowania państwa na tego typu zagrożenia. Rozwiązania zmierzające do zapewnienia bezpieczeństwa ww. obiektów zostały także uwzględnione w ustawie z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych. Ponadto w harmonogramie prac Międzyresortowego Zespołu do Spraw Zagrożeń Terrorystycznych przewidziano omówienie standardów zabezpieczeń i reguł współdziałania dotyczących infrastruktury krytycznej, a także zasad dokonywania sprawdzenia zabezpieczeń obiektów IK zgodnie z przepisami ustawy o działaniach antyterrorystycznych.
W celu usprawnienia mechanizmów współdziałania służb i organów w zakresie realizacji ww. przepisów ustawowych oraz rozwiązań programowych, Przewodniczący MZ ds. ZT – Minister Spraw Wewnętrznych i Administracji, powołał decyzją nr 32 z dnia 26 maja 2017 r. Zespół zadaniowy do spraw opracowania standardów zabezpieczeń antyterrorystycznych i reguł współdziałania dotyczących infrastruktury krytycznej oraz zasad dokonywania sprawdzenia zabezpieczeń obiektów infrastruktury krytycznej zgodnie z przepisami ustawy o działaniach antyterrorystycznych. Zespół działał od 26 maja 2017 r. do 31 stycznia 2018 r., a w jego skład weszli przedstawiciele Ministerstwa Spraw Wewnętrznych i Administracji, Rządowego Centrum Bezpieczeństwa, Ministerstwa Finansów, Ministerstwa Obrony Narodowej, Agencji Bezpieczeństwa Wewnętrznego, Komendy Głównej Policji, Komendy Głównej Straży Granicznej, Komendy Głównej Państwowej Straży Pożarnej oraz Biura Ochrony Rządu.
Ponadto, z uwagi na kompleksowość realizowanych zadań, do udziału w pracach zaproszeni zostali przedstawiciele Ministerstwa Cyfryzacji, Ministerstwa Energii, Ministerstwa Infrastruktury i Budownictwa, Ministerstwa Gospodarki Morskiej i Żeglugi Śródlądowej, Ministerstwa Rozwoju, Państwowej Agencji Atomistyki, Urzędu Lotnictwa Cywilnego oraz Biura Bezpieczeństwa Narodowego. Zaproszeni zostali również reprezentanci gremiów i środowisk naukowych, posiadających ekspercką wiedzę lub doświadczenie przydatne w pracach Zespołu zadaniowego, oraz wybrani przedstawiciele właścicieli i posiadaczy samoistnych lub zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej. Ze względu na specjalistyczny charakter systemów bezpieczeństwa stosowanych w obiektach IK na terenie Polski, zwrócono się również do ekspertów zewnętrznych – ośmiu uznanych w kraju specjalistów reprezentujących: Polski Komitet Normalizacyjny, Wyższą Szkołę Policji w Szczytnie, Politechnikę Poznańską, Uniwersytet Wrocławski, Naftoport S.A. oraz Polską Izbę Systemów Alarmowych.
Jednym z zadań Zespołu zadaniowego było opracowanie projektu standardu zabezpieczeń antyterrorystycznych w zakresie zapewnienia bezpieczeństwa fizycznego, osobowego oraz teleinformatycznego dla obiektów infrastruktury krytycznej oraz określenie minimalnych ustandaryzowanych wymagań dla każdego rodzaju zabezpieczeń. Przewidziano, że na sposób wdrożenia konkretnych rozwiązań mają wpływ: charakter organizacji, realizowane w niej procesy, jej wielkość i struktura, a także gotowość organizacji do wykorzystania podmiotów zewnętrznych. Czynniki te podlegają zmianom wraz z upływem czasu.

ZAPEWNIENIE BEZPIECZEŃSTWA OSOBOWEGO – WYMAGANIA MINIMALNE
Zapewnienie bezpieczeństwa osobowego to zespół przedsięwzięć i procedur mających na celu minimalizację ryzyka związanego z osobami, które poprzez autoryzowany dostęp do obiektów, urządzeń, instalacji i usług infrastruktury krytycznej, mogą spowodować zakłócenia w jej funkcjonowaniu. Wprowadzenie minimalnych wymagań standardu zapewnienia bezpieczeństwa osobowego jest niezbędne, aby zminimalizować ryzyko zakłócenia funkcjonowania IK. Istotne jest, aby zapewnienie bezpieczeństwa osobowego stanowiło integralną część procesu zarządzania ryzykiem w organizacji oraz procesu ochrony IK i było uwzględniane przy projektowaniu procesów organizacji, zgodnie z jej potrzebami. Trzeba w tym miejscu zauważyć, że wiele aspektów zapewnienia bezpieczeństwa osobowego jest nierozerwalnie związanych z innymi elementami systemu bezpieczeństwa IK, takimi jak zapewnienie ciągłości działania.
Minimalne wymagania w zakresie standardu zapewnienia bezpieczeństwa osobowego zostały sformułowane dla następujących obszarów:
• zarządzanie ryzykiem,
• polityka bezpieczeństwa osobowego,
• role, odpowiedzialność i uprawnienia,
• ustalenie tożsamości,
• weryfikacja kwalifikacji,
• weryfikacja niekaralności,
• postępowanie wobec zatrudnionych,
• niestandardowe zachowania,
• zasady dostępu,
• identyfikacja wizualna,
• postępowanie z odchodzącymi z pracy,
• postępowanie z usługodawcami/osobami z zewnątrz.

Szczegółowo rozpisane wytyczne dotyczą nie tylko elementów składających się na zapewnienie „twardego” bezpieczeństwa takich, jak np. kompetencje w zakresie weryfikacji autentyczności dokumentów, obowiązek czytelnej identyfikacji wizualnej pracowników posiadających dostęp do IK czy zasady obowiązkowej okresowej weryfikacji uprawnień i dostępów. Odnoszą się także do minimalnych wymagań postępowania wobec zagrożeń nowego typu, co zawarte zostało np. w zapisie, zgodnie z którym operator zapewnia wszystkim pracownikom szkolenia w tematyce zagrożeń socjotechnicznych. Doprecyzowano, że szkolenie powinno uświadamiać pracownikom charakterystykę zagrożenia socjotechnicznego, przykłady takich ataków, a także pokazywać metody ochrony przed ich negatywnymi skutkami. Ponadto wskazane jest profilowanie treści szkoleń w zależności od roli, jaką dana osoba pełni w organizacji.

ZAPEWNIENIE BEZPIECZEŃSTWA FIZYCZNEGO – WYMAGANIA MINIMALNE
Zapewnienie bezpieczeństwa fizycznego infrastruktury krytycznej to zespół działań proceduralnych, organizacyjnych i technicznych, mających na celu minimalizację ryzyka zakłócenia funkcjonowania IK w następstwie działań osób, które w sposób nieautoryzowany podjęły próbę dostania się lub znalazły się na terenie IK. Na działania te składają się m.in. bezpośrednia ochrona fizyczna (osobowa) oraz zabezpieczenia techniczne (elektroniczne i budowlano-mechaniczne). Zaznaczyć należy, że żadne działania zmierzające do zapewnienia bezpieczeństwa fizycznego nie gwarantują całkowitego bezpieczeństwa. Środki ochronne zwiększają jedynie szansę na skuteczne przeciwdziałanie. Podobnie jak w przypadku zapewnienia bezpieczeństwa osobowego, również zapewnienie bezpieczeństwa fizycznego powinno być integralną częścią procesu zarządzania ryzykiem w organizacji oraz procesu ochrony IK i być uwzględniane przy projektowaniu procesów organizacji, zgodnie z jej potrzebami.
Minimalne wymagania w zakresie standardów zapewnienia bezpieczeństwa fizycznego zostały sformułowane zarówno dla bezpośredniej ochrony fizycznej jak i zabezpieczeń elektronicznych i budowlano-mechanicznych. Obejmują one następujące obszary:
• zarządzanie ryzykiem,
• zarządzanie aktywami organizacji w obszarze zapewnienia bezpieczeństwa fizycznego,
• wyznaczenie osoby odpowiedzialnej za zapewnienie bezpieczeństwa fizycznego,
• organizacyjno-proceduralne środki zapewnienia bezpieczeństwa fizycznego,
• procedury reagowania,
• podział obszaru chronionego na strefy ochrony,
• przegląd systemu bezpieczeństwa fizycznego,
• szkolenia z zakresu bezpieczeństwa,
• ochronę przeciwprzepięciową technicznych systemów zapewnienia bezpieczeństwa fizycznego,
• oświetlenie obszaru objętego ochroną,
• zapewnienie fizycznej bariery pomiędzy strefą zewnętrzną a pozostałymi strefami,
• elektroniczne systemy zabezpieczeń (ESZ),
• zasilanie ESZ,
• kontrolę dostępu do chronionego obszaru,
• monitoring wizyjny,
• sygnalizację włamania i napadu,
• zasady i warunki zapewnienia ochrony przy pomocy uzbrojonych pracowników ochrony fizycznej.

W każdym z wyżej wymienionych obszarów sformułowano szczegółowe wytyczne wraz z uwagami. W wymaganiach minimalnych odnoszących się do zabezpieczenia technicznego (elektronicznego i budowlano-mechanicznego) przywołano właściwe normy, parametry czy zasady zabezpieczenia transmisji danych. W punkcie dotyczącym uzbrojonych pracowników ochrony fizycznej umieszczono wymagania, których realizacja zapewni sprawne i rzetelne realizowanie działań ochronnych przez właściwe do tego osoby.

ZAPEWNIENIE BEZPIECZEŃSTWA TELEINFORMATYCZNEGO – WYMAGANIA MINIMALNE
Infrastruktura krytyczna jest narażona na ataki teleinformatyczne przeprowadzane zarówno przez początkujących, jak i wysoce wyspecjalizowanych cyberprzestępców, którzy mogą doprowadzić do zakłócenia jej funkcjonowania. Wpływ na IK mogą mieć również skutki zdarzeń losowych – takich jak awarie systemów, niesprawności urządzeń lub programów ją obsługujących.
Uprawnienia dostępu do systemów teleinformatycznych, wykorzystywanych do świadczenia usług krytycznych, nadawane są najczęściej pracownikom organizacji (w trakcie ich zatrudniania) oraz pracownikom usługodawców lub dostawców rozwiązań teleinformatycznych (w wyniku wzajemnych umów lub w sposób doraźny). Dostęp do systemów teleinformatycznych oraz danych w nich zgromadzonych może być nielegalnie wykorzystany i służyć zakłóceniu funkcjonowania IK lub działaniu na jej niekorzyść. Jednocześnie administratorzy dysponują największą wiedzą na temat funkcjonowania systemów teleinformatycznych IK i z reguły również najwyższymi uprawnieniami w zakresie dostępu do informacji oraz zdolności zarządczych, co powoduje, że stanowią oni potencjalne źródło zagrożenia.
Na sposób wdrożenia konkretnych wymagań w zakresie zapewnienia cyberbezpieczeństwa mają wpływ powiązane ze sobą czynniki charakteryzujące organizację, jak nasycenie systemami teleinformatycznymi czy rozwój kompetencji własnych w zakresie technologii informacyjnych. Podobnie jak w omówionych wcześniej zagadnieniach, również zapewnienie bezpieczeństwa teleinformatycznego powinno być silnie zintegrowane z procesami zarządzania ryzykiem i bezpieczeństwem w organizacji oraz ochrony IK i powinno być uwzględniane przy projektowaniu procesów organizacji, zgodnie z jej potrzebami.
Wymagania minimalne dla zapewnienia bezpieczeństwa teleinformatycznego zostały, podobnie jak w poprzednich wypadkach, sformułowane dla wyodrębnionych obszarów i obejmują:
• zarządzanie ryzykiem,
• zarządzanie zasobami teleinformatycznymi,
• zapewnienie rozliczalności użytkowników w systemach teleinformatycznych i kontroli dostępu do systemów i aplikacji,
• zapewnienie bezpieczeństwa urządzeń operatora poza siedzibą,
• mechanizmy, procedury i narzędzia bezpiecznej eksploatacji,
• bezpieczeństwo komunikacji,
• relacje z dostawcami,
• zarządzanie incydentami związanymi z bezpieczeństwem informacji,
• przeglądy bezpieczeństwa informacji.

Ze względu na możliwe skutki, największe wyzwanie w zapewnieniu bezpieczeństwa teleinformatycznego stanowią zagrożenia pochodzące z wewnątrz organizacji (insider threat). W tym kontekście istotnym zagadnieniem jest dostępność personelu wspierającego realizację krytycznych (w rozumieniu ciągłości działania) procesów organizacji – administratorów sieci i systemów. Nieobecność takiego personelu może istotnie podnieść ryzyko zakłócenia funkcjonowania IK. Zgodnie z rekomendacją Zespołu zadaniowego, każdy operator IK miałby 24 miesiące na wdrożenie minimalnych wymagań w zakresie standardów antyterrorystycznych dotyczących zapewnienia bezpieczeństwa fizycznego, osobowego i teleinformatycznego. Ocena wdrażania ww. standardów zostałaby oparta na istniejącej procedurze uzgadniania i zatwierdzania planów ochrony infrastruktury krytycznej. Należy także podkreślić, że przy opracowaniu standardów przewidziano, iż operator IK będzie miał możliwość odstąpienia od tych minimalnych wymagań, które w danych warunkach są niemożliwe do wdrożenia (technicznie lub organizacyjnie) albo, zgodnie z przeprowadzoną przez operatora analizą ryzyka dla ciągłości działania, nie mają wobec niego zastosowania, a wskazany w wymaganiu cel operator zapewnia w drodze zastosowania innych, alternatywnych środków bezpieczeństwa. Odstąpienie od spełnienia konkretnego wymagania powinno być uzasadnione, udokumentowane i zatwierdzone przez kierownictwo jednostki.

[1] Wymagania zawarte w niniejszym dokumencie odnoszą się wyłącznie do infrastruktury krytycznej, zlokalizowanej na terytorium kraju. W przypadku infrastruktury krytycznej zlokalizowanej poza granicami kraju, mogą być one modyfikowane z uwzględnieniem specyfiki funkcjonowania oraz przepisów prawa państwa, w którym zlokalizowana jest taka IK.

Złagodzone obostrzenia od 1 maja