Strona główna Infrastruktura krytyczna Zarządzanie ciągłością działania infrastruktury krytycznej – aspekty normalizacyjne

Zarządzanie ciągłością działania infrastruktury krytycznej – aspekty normalizacyjne

UDOSTĘPNIJ

Andrzej Ryczer
PKN – komisje KT 52, KT 306, KT232
Stowarzyszenie Polalarm, Stowarzyszenie Ekspertów Normalizacji, Walidacji i Certyfikacji NOWACERT


Normalizacja międzynarodowa dotycząca infrastruktury krytycznej jest prowadzona przez Komitety Techniczne ISO, głównie przez ISO/TC 292 oraz w mniejszym zakresie przez ISO/TC 262, ISO/TC 251 i ISO/TC 223. W kraju współpraca z tymi komitetami jest zadaniem PKN i leży w zakresie prac Komitetu Technicznego KT 306 PKN ds. Bezpieczeństwa Powszechnego i Ochrony Ludności.

Komitet Techniczny ISO/TC 292 Security and resilience istniejący od 2014 r. opracowuje normy dotyczące • terminologii • systemów zarządzania ciągłością działania • odporności organizacyjnej (organisational resilience) • zarządzania awaryjnego (emergency management) • odporności społeczności (community resilience) • systemów zarządzania bezpieczeństwem łańcucha dostaw (security management systems for the supply chain).

W Komitecie Technicznym ISO/TC 262 Risc management (2011) opracowano normy w zakresie podstaw i zasad stosowania technik zarządzania ryzykiem.

Kolejny Komitet Techniczny ISO/TC 251 Asset management (2010) zajmuje się zarządzaniem zasobów, a ISO/TC 223 Societal security (2006) – bezpieczeństwem powszechnym i prowadzi normalizację związaną m.in. z wysokimi konsekwencjami katastrof naturalnych i katastrof spowodowanych przez człowieka.
Fundamentalną część IK stanowią sieci łączności, w tym sieci teleinformatyczne; normalizacja dotycząca stosowanych tam technik bezpieczeństwa (security techniques) – zarządzania ryzykiem w bezpieczeństwie informacji – jest prowadzona przez wspólny Komitet Techniczny ISO/IEC JTC1.

Liczba norm i specyfikacji technicznych opracowanych przez wymienione komitety wynosi obecnie około 70, z tym że zakresy tych dokumentów ze względu na to, że dotyczą zarządzania, w wielu przypadkach nawzajem się przenikają. Podstawą przedstawianych tam procedur dotyczących zarządzania ciągłością IK jest klasyczne podejście PDCA (Plan Do Check Act), zalecane od dawna do stosowania w zarządzaniu jakością.

Ze znacznej liczby norm ISO dotyczących pośrednio albo bezpośrednio zarządzania infrastrukturą krytyczną można wydzielić normy podstawowe dotyczące terminologii, podstaw i zasad stosowania.

W zakresie terminologii ustanowiono:
• ISO Guide 73: 2009 Risk management – Vocabulary
• ISO/DIS 22300 Security and resilience – Terminology
• ISO 22301:2012 Societal security – Terminology
• ISO 55000: 2014 Asset management – Overview, principles and terminology
• ISO 55001: 2014 Asset management – Management systems – Requirements.

Podstaw zarządzania infrastrukturą krytyczną dotyczą:
• ISO 22301: 2012 Societal security – Business continuity management systems – Requirements
• ISO 22313: 2012 Societal security – Business continuity management systems – Principles and attributes
• ISO 22316: Security and resilience – Organizational resilience – Principles and attributes
• ISO 28000: 2007 Specification for security management systems for the supply chain.

Zasady stosowania i dobre praktyki objęte są m.in. zakresem:
• ISO/TS 22317: 2015 Business continuity management systems – Guidelines for supply chain continuity
• ISO 22320: 2011 Security and resilience – Emergency management – Guidelines for incident response
• ISO 28001: 2007 Security management systems for the supply chain – Best practices for implementing supply chain security assessments and plans – Requirements and guidance
• ISO 55002: 2014 Asset management – management systems – Guidelines for the application of ISO 55001.

W wymienionych normach i literaturze anglojęzycznej wykorzystuje się wiele pojęć o zbliżonym znaczeniu, np. resilience, vulnerability, risc, hazard, security, safety, reliability, dependability. Związki między tymi określeniami są często niejasne.
Na łamach „a&s Polska” będziemy prezentować ich definicje, które mogą się znacznie różnić w zależności od kontekstu i obszaru stosowania.