Trudno udzielić odpowiedź na to pytanie w jednym artykule, ale pojawił się w sieci materiał, który może być dobrym drogowskazem. Szwedzka Agencja ds. Ochrony Ludności (MSB) opublikowała materiał pt. Ochrona infrastruktury krytycznej: Zwiększanie odporności poprzez zarządzanie ryzykiem, zarządzanie ciągłością działania, bezpieczeństwem informacji i cyberbezpieczeństwem oraz niepożądanymi zdarzeniami. Dlaczego może być przydatny dla operatora IK, nie tylko szwedzkiego?
Publikacja skierowana jest do podmiotów publicznych i prywatnych, które zapewniają funkcjonowanie infrastruktury krytycznej. Zawiera wytyczne i listy kontrolne (tzw. checklisty) oparte na normach krajowych i międzynarodowych, które mają wspierać budowanie odporności. Dokument uwzględnia również obowiązki wynikające z dyrektyw UE (CER i NIS2). Jego celem jest wskazanie działań, które powinny podjąć podmioty IK, aby zwiększyć swoją odporność na kryzysy.
Które elementy publikacji można wykorzystać?
Po pierwsze, listy kontrolne:
- Usystematyzowane działania (Tabela 1): ma na celu stworzenie systematycznego podejścia do pracy nad odpornością infrastruktury krytycznej i zawiera sekcje dotyczące dokumentów regulujących, monitoringu zewnętrznego, szkoleń i ćwiczeń, informacji i komunikacji, monitorowania i doskonalenia oraz wniosków wyciągniętych.
- Zarządzanie ryzykiem (Tabela 2): zawiera punkty dotyczące opracowania polityki, celów, zasobów, zarządzania ryzykiem w codziennej działalności, akceptowalnego poziomu ryzyka, ocen ryzyka i wdrażania środków zaradczych.
- Zarządzanie ciągłością działania (Tabela 3): zawiera punkty dotyczące polityki, celów, zasobów, zarządzania ciągłością działania w codziennej działalności, analizy wpływu na działalność, oceny ryzyka, planów działania i rozwiązań dotyczących ciągłości działania.
- Bezpieczeństwo informacji i cyberbezpieczeństwo (Tabela 4): zawiera punkty dotyczące polityki, celów, zasobów, zarządzania bezpieczeństwem informacji i cyberbezpieczeństwem w codziennej działalności, akceptowalnego poziomu ryzyka, klasyfikacji informacji, oceny ryzyka, wdrażania środków bezpieczeństwa i zapewnienia ciągłości działania systemów informacyjnych.
- Zarządzanie niepożądanymi zdarzeniami (Tabela 5): zawiera punkty dotyczące polityki, celów, zasobów, procedur postępowania w przypadku niepożądanych zdarzeń, kontaktów z innymi podmiotami, punktu kontaktowego, monitoringu zewnętrznego, tworzenia obrazu sytuacji, systemów technicznych i planów zarządzania niepożądanymi zdarzeniami.
Listy kontrolne zawarte w podręczniku są ogólne, dzięki czemu mogą być stosowane przez różne typy organizacji.
Jak taka lista wygląda w praktyce? Poniżej przykład dotyczący zarządzania incydentami:
Tabela 5. Lista kontrolna – Zarządzanie niepożądanymi zdarzeniami
| H1 | Organizacja opracowała i wdrożyła politykę dotyczącą zarządzania incydentami i kryzysami. Pracownicy są z nią zaznajomieni | ☑ |
| H2 | Cele zostały opracowane na potrzeby działań organizacji związanych z zarządzaniem niepożądanymi zdarzeniami | ☑ |
| H3 | Organizacja dysponuje wystarczającymi zasobami, aby realizować zadania dotyczące zarządzania niepożądanymi zdarzeniami. | ☑ |
| H4 | Organizacja ustanowiła i udokumentowała zasady postępowania w zakresie obsługi niepożądanych zdarzeń, w tym jasno określone role i obowiązki:
– Wewnętrznie, w ramach własnej organizacji. – Zewnętrzne (współpraca z innymi podmiotami) |
☑ |
| H5 | Organizacja nawiązała kontakty, sieci współpracy lub uczestniczy w forach z odpowiednimi podmiotami. | ☑ |
| H6 | Organizacja posiada punkt kontaktowy do:
– Alarmowania i koordynacji wewnętrznej w organizacji. – Współpracy z innymi podmiotami. |
☑ |
| H7 | Organizacja prowadzi monitoring zewnętrzny w celu wzmocnienia swoich zdolności w zakresie zarządzania.
Monitoring zewnętrzny obejmuje aktywne gromadzenie, analizowanie, ocenianie i przekazywanie informacji, które pomagają organizacji zdobyć wiedzę o otoczeniu, wspierając podejmowanie lepszych decyzji w sytuacji zdarzenia/kryzysu.
|
☑ |
| H8 | Organizacja posiada metody opracowywania i komunikowania obrazu sytuacyjnego wewnętrznie i zewnętrznie.
Obraz sytuacyjny to wyselekcjonowane informacje przedstawione w formie opisów lub ocen sytuacji. Jego celem jest zapewnienie przeglądu, zrozumienia lub podstawy do podejmowania decyzji i działań. |
☑ |
| H9 | Organizacja posiada odpowiednie systemy techniczne i sprzęt do radzenia sobie z niepożądanymi zdarzeniami, które mogą wpływać na infrastrukturę krytyczną. | ☑ |
| H10 | Organizacja posiada procedury dokumentowania działań, analiz i decyzji podejmowanych przed, w trakcie i po wystąpieniu niepożądanego zdarzenia. | ☑ |
| H11 | Organizacja opracowała jeden lub więcej planów zarządzania niepożądanymi zdarzeniami.
Plany te mogą obejmować:
Plany te mogą składać się z różnych procedur, list kontrolnych itp. Są stosowane w sytuacjach wymagających powołania struktury zarządzania kryzysowego. Mogą być określane jako plany awaryjne, plany zarządzania kryzysowego itp. |
☑ |
| H12 | Organizacja opracowała plany zapewnienia opieki psychologicznej i społecznej dla swoich pracowników. | ☑ |
Dla każdej z tych kategorii w Tabeli 6 zamieszczono listę konkretnych norm ISO, standardów oraz wytycznych, które są rekomendowane lub powiązane z danym obszarem. Poniżej kilka przykładów:
Usystematyzowane działania:
-
- ISO 22301 (2019) – Systemy zarządzania ciągłością działania
- SS 22304 (2023) – Bezpieczeństwo i odporność – Systemy zarządzania ciągłością działania
- ISO 27000 (2020) – Technika informatyczna – Systemy zarządzania bezpieczeństwem informacji
- ISO 31000 (2018) – Zarządzanie ryzykiem – Wytyczne
- Zarządzanie ryzykiem:
- ISO 31000 (2018) – Zarządzanie ryzykiem – Wytyczne
- ISO 27001 (2022) – Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności
- COSO Compliance Risk Management (2020)
- Zarządzanie ciągłością działania:
- ISO 22301 (2019) – Systemy zarządzania ciągłością działania
- SS22304 (2023) – Systemy zarządzania ciągłością działania
- ISO 27002 (2022) – Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności
- Bezpieczeństwo informacji i cyberbezpieczeństwo:
- ISO 27000 (2020) – Technika informatyczna – Systemy zarządzania bezpieczeństwem informacji
- ISO 27001 (2022) – Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności
- ISO 27002 (2022) – Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności
- Zarządzanie niepożądanymi zdarzeniami:
- ISO 22320 (2019) – Zarządzanie kryzysowe
- ISO 22316 (2020) – Bezpieczeństwo i odporność – Odporność organizacyjna – Zasady
To tylko kilka przykładów, polecam zapoznanie się z całością materiału.
Link do dokumentu: https://www.msb.se/sv/publikationer/critical-infrastructure-protection–increased-resilience-through-risk-management-business-continuity-management-information-and-cybersecurity-and-managing-unwanted-events/
