Zgodnie z obecnie obowiązującą ustawą z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym art. 3 pkt. 2, przez infrastrukturę krytyczną należy rozumieć systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców. Infrastruktura krytyczna obejmuje systemy:
- zaopatrzenia w energię, surowce energetyczne i paliwa,
- łączności
- sieci teleinformatycznych,
- finansowe,
- zaopatrzenia w żywność
- zaopatrzenia w wodę,
- ochrony zdrowia,
- transportowe,
- ratownicze,
- zapewniające ciągłość działania administracji publicznej,
- produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych.
Krótko mówiąc, infrastruktura krytyczna to obiekty, urządzenia bądź instalacje niezbędne do minimalnego funkcjonowania gospodarki i państwa. Jednak sama definicja to za mało, by wyznaczyć konkretne obiekty budowlane, urządzenia, instalacje, usługi kluczowe dlatego też opracowano kryteria oceny, pozwalające zaliczyć obiekty do infrastruktury krytycznej bazujące zarówno na funkcji samych obiektów jak i skutkach które wywołają w chwili zaprzestania świadczenia swych funkcji.
Kryteria wraz z innymi, najistotniejszymi informacjami odnoszącymi się do budowy i utrzymania w kraju systemu ochrony infrastruktury krytycznej zostały spisane i przyjęte przez Radę Ministrów w uchwale „Narodowy Program Ochrony Infrastruktury Krytycznej” przygotowanej przez Wydział Ochrony Infrastruktury Krytycznej Rządowego Centrum Bezpieczeństwa (WOIK RCB).
Rządowego Centrum Bezpieczeństwa jest odpowiedzialne za aktualizację „jednolitego wykazu obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej z podziałem na systemy” potocznie nazywanego wykazem IK.
Wykaz ten objęty jest ochroną informacji niejawnych.
Infrastruktura krytyczna pełni kluczową rolę w funkcjonowaniu państwa i życiu jego obywateli. W wyniku zdarzeń spowodowanych siłami natury lub będących konsekwencją działań człowieka, infrastruktura krytyczna może być zniszczona, uszkodzona, a jej działanie może ulec zakłóceniu, przez co zagrożone może być życie i mienie obywateli. Istota zadań związanych z infrastrukturą krytyczną sprowadza się nie tylko do zapewnienia jej ochrony przed zagrożeniami, ale również do tego aby ewentualne uszkodzenia i zakłócenia w jej funkcjonowaniu były możliwie krótkotrwałe, łatwe do usunięcia i nie wywoływały dodatkowych strat dla obywateli i gospodarki.
Przez ochronę infrastruktury krytycznej należy rozumieć wszelkie działania zmierzające do zapewnienia funkcjonalności, ciągłości działań i integralności infrastruktury krytycznej w celu zapobiegania zagrożeniom, ryzykom lub słabym punktom oraz ograniczenia i neutralizacji ich skutków oraz szybkiego odtworzenia tej infrastruktury na wypadek awarii, ataków oraz innych zdarzeń zakłócających jej prawidłowe funkcjonowanie.
Prawidłowa eksploatacja i utrzymanie dostępu do usług świadczonych przez infrastrukturę krytyczną o dowolnym przeznaczeniu jest ściśle zależne od właściwego kompleksowego zarządzania potencjalnym ryzykiem. Właściwa ocena wszystkich skutków będących następstwem odstawienia usług infrastruktury krytycznej wpływa w sposób bezpośredni na polityka utrzymania ruchu.
W związku z tym należy dokonać rozpoznania i analizy (audytu) środowiska utrzymania ruchu infrastruktury krytycznej, na którą składają się budynki wraz z całą infrastrukturą techniczną. Cały proces jest podzielony na etapy, stanowiące kolejne kroki niezbędne do zgromadzenia potrzebnych informacji do wykonania audytu:
- Infrastruktura krytyczna - celem audytu jest rozpoznanie wszystkich warunków towarzyszących świadczeniu usług infrastruktury krytycznej oraz rozpoznanie wagi skutków, które mogą towarzyszyć brakowi dostępu do jej funkcji.
- Rozpoznanie właściwego celu i priorytetu utrzymania dostępu do usług infrastruktury krytycznej.
- Rozpoznanie wszystkich funkcji pełnionych przez infrastrukturę krytyczną.
- Analiza możliwych skutków zaprzestania funkcjonowania dostępu do usług infrastruktury krytycznej.
- Ustalenie kryteriów i metod oceny procesu utrzymania dostępu do usług infrastruktury krytycznej.
- Infrastruktura techniczna wchodząca w skład infrastruktury krytycznej - celem audytu jest rozpoznanie ryzyka niezawodności działania infrastruktury technicznej o znaczeniu krytycznym na takim poziomie, jakiego wymaga realizacja funkcji infrastruktury krytycznej w danych warunkach. Zatem „zabezpieczenie funkcji” – nie zaś „zabezpieczenie infrastruktury technicznej”. Oznacza, że analizie podlegają funkcje, które należy zabezpieczyć przed potencjalnym zagrożeniem.
- Identyfikacja infrastruktury technicznej o znaczeniu krytycznym dla utrzymania funkcjonowania dostępu do usług infrastruktury krytycznej.
- Identyfikacja funkcji infrastruktury technicznej o znaczeniu krytycznym.
- Sporządzenie schematów funkcjonalnych infrastruktury technicznej o znaczeniu krytycznym.
- Określenie metody pozyskania koniecznych danych do oceny parametrów pracy infrastruktury technicznej o znaczeniu krytycznym.
- Identyfikacja ryzyka wystąpienia usterek funkcjonalnych, czyli zdolności do wykonywania oczekiwanej funkcji.
- Analiza możliwych przyczyn wystąpienia usterek funkcjonalnych grożących nieprawidłowościami w utrzymaniu zdolności do wykonywania oczekiwanej funkcji infrastruktury technicznej o znaczeniu krytycznym.
- Identyfikacja znaczenia i konsekwencji wystąpienia usterek dla utrzymania funkcjonowania infrastruktury technicznej o znaczeniu krytycznym.
- Określenie możliwych działań zabezpieczających funkcjonowanie infrastruktury technicznej o znaczeniu krytycznym.
- Określenie możliwych modernizacji technicznych podtrzymujących funkcjonowanie infrastruktury technicznej o znaczeniu krytycznym w przypadku wystąpienia usterek funkcjonalnych.
Wszelkie ryzyka mogą być związane m.in. ze zjawiskami pogodowych (pożary, susze, powodzie, huragany, mrozy, itp.), przyczynami społecznymi (niepokoje, protesty), przyczynami politycznymi (konflikty międzynarodowe, zakłócenia dostaw gazu i paliwa), terroryzmem (akty terroru i cyberterroryzmu) oraz przyczynami technicznymi awarii. Ocena tych zagrożeń i ich skutków jest na bieżącą śledzona przez Rządowe Centrum Bezpieczeństwa. Raport o tych zagrożeniach jest dostępny na stronie http://rcb.gov.pl/?page_id=489
Analizując ryzyko utrzymania ruchu infrastruktury technicznej o znaczeniu krytycznym dla funkcjonowania infrastruktury krytycznej należy brać pod uwagę wybrane zagrożenia związane z zagrożeniami „zewnętrznymi” związanymi ze zjawiskami pogodowymi, utratą zasilania, utratą dostępu do dostawy wody, paliwa, energii elektrycznej oraz zjawiskami wewnętrznymi związanymi z ryzykiem operacyjnym. Ryzyka operacyjne można podzielić na dwa obszary: obszar związany z czynnikiem ludzkim oraz obszar związany ze stanem infrastruktury technicznej.
Zagrożenia zewnętrzne:
Ryzyka zewnętrzne mogą mieć bezpośredni wpływ na utrzymanie dostępu do usług infrastruktury krytycznej dlatego, w zależności od jej funkcji oraz usług należy wziąć po uwagę takie czynniki jak:
- Autonomiczność zasilana w energię elektryczną
- Autonomiczność dostaw wody
- Autonomiczność dostaw paliwa
- Możliwość dojazdu i dostaw w przypadku niekorzystnych zjawisk atmosferycznych lub klęski żywiołowej
- Możliwość dokonania umyślnej szkody przez osoby zewnętrzne
W zależności od przeznaczenia infrastruktury krytycznej należy zidentyfikować czy autonomiczność oraz bezpieczeństwo realizowane przez techniczne systemy bezpieczeństwa oraz fizyczną ochronę są adekwatne dla osiągania celów w krótko i długo terminowej perspektywie (zakładając zmieniające się niekorzystnie warunki zewnętrzne) . Rozpoznane obszary potencjalnego ryzyka należy następnie dogłębnie przeanalizować pod kontem wprowadzenia działań naprawczych.
Ryzyka operacyjne: czynnik ludzkim
Audyt powinien rozpoznać obszary opisane tu: Utrzymanie Ruchu
Ryzyka operacyjne związane bezpośrednio z ludźmi, wdrożonymi procesów oraz posiadaną infrastrukturą można podzielić na siedem obszarów:
- Administracja i zarządzanie, organizacja,
- Kwalifikacje i doświadczenie personelu,
- Szkolenia,
- Utrzymanie ruchu i konserwacja
- Analiza danych,
- Planowanie,
- Ciągłe doskonalenie.
W zależności od przeznaczenia infrastruktury krytycznej należy zidentyfikować obszary o największym znaczeniu, koncentrując się na obszarach, które mają najwyższą wagę dla zapewnienia osiągania celów w krótko i długo terminowej perspektywie . Rozpoznane obszary potencjalnego ryzyka należy następnie dogłębnie przeanalizować pod kontem wprowadzenia działań naprawczych.
Ryzyka operacyjne: infrastruktura techniczna
Ryzyka operacyjne związane bezpośrednio z posiadaną infrastrukturą można podzielić na siedem obszarów:
- Stan techniczny urządzeń,
- Wiek urządzeń,
- Topologia budowy infrastruktury technicznej o znaczeniu krytycznym,
- Polityka wymiany.
W zależności od wymaganej dostępności usług infrastruktury krytycznej należy dokonać analizy niezawodności topologii zastosowanej w infrastrukturze technicznej i zidentyfikować obszary krytyczne, które będą miały istotny wpływ na funkcjonowanie całego obiektu w trakcie planowanych czynności operacyjnych oraz nieplanowanych incydentów. Rozpoznane obszary potencjalnego ryzyka należy następnie dogłębnie przeanalizować pod kontem wprowadzenia działań naprawczych.
Wnioski z audytu
Audyt ma dać wyraźną odpowiedź na pytanie: czy organizacja utrzymania ruchu oraz infrastruktura techniczna są przygotowane na wystąpienie możliwego ryzyka zewnętrznego lub wewnętrznego podczas zapewnienia ciągłości dostępu do usług pełnionych przez infrastrukturę krytyczną.