תקינה ותקנים בתחום ביטחון האומה - סקירת הפעילות בעולם

תאריך פרסום: 
21/05/2013

בעקבות מתקפות הטרור שאירעו בתחילת המאה ה–21 חל שינוי בגישה של ארגוני התקינה לתחום האבטחה, וניתן לראות בבירור שמספר ארגוני תקינה החליטו לטפל בתחום של אבטחה/ ביטחון/ חוסן ביטחוני/ ביטחון האומה (homeland security) בצורה ממוקדת. נכון שגם בעידן של טרום פיגוע מגדלי התאומים שאירע ב-11 בספטמבר2001 הוכנו תקנים בתחום האבטחה/ביטחון, אך תקנים אלה היו מיועדים למקומות עבודה כחלק מהבטיחות והגיהות, כגון ציוד הגנה אישי הכולל מערכות מיגון נשימתיות (מסכות אב"כ), או מערכות מיגון כפי שחברות הביטוח דרשו, כגון מערכות אזעקה לבית או לרכב.
בעשור האחרון הוכנו תקנים רבים על ידי ארגוני תקינה בין-לאומיים בתחומים כגון ניהול מצבי חירום, אבטחת מידע, ביומטרייה, ציוד מגן אישי, מערכות ניהול לארגונים ולחברות אבטחה, מערכות בקרת גישה, גדרות, מצלמות במעגל סגור ועוד.
במאמר הקודם בסדרה זו, שהתפרסם בגיליון 11 של 'מצודה', הוצג בחטף עולם התקינה וההזדמנויות הגלומות בו. מאמר זה הוא השני בסדרה, ובו אציג את מפת התקינה העולמית בתחום האבטחה, שכאמור התפתח מאוד בעשור האחרון, תוך ציון ארגוני תקינה הפעילים ותחומי העניין שהתקנים מתייחסים אליהם.
מתקפת הטרור שאירעה בארה"ב ב–11 בספטמבר 2001 הייתה מעין קריאת יקיצה. האיום על המולדת (במקרה זה, ארה"ב) בא ממקום בלתי צפוי, שתפס את רשויות השלטון לא מוכנות. פתאום קורה שהעורף חשוף לאיום של אויב שאיננו ישות מדינית ואיננו בעל גבולות גיאוגרפיים, איננו עובר דרך צבא או מערכות ההגנה מקובלות השומרות על הגבול מפני אויבים, אלא חודר דרך מערכות אזרחיות המותאמות למניעת פשע כגון אלימות, הברחות ופשעים כלכליים. בארה"ב הזעזוע היה כה משמעותי, שבעקבותיו הוקם משרד ממשלתי חדש –Department of Homeland Security. שינוי מבני זה חִייב היערכות כוללת לטיפול בנושאים השייכים למשרד זה, וגם ארגון התקינה האמריקני, ANSI, נרתם למאמץ. גם מתקפות הטרור שאירעו באירופה הביאו את הנציבות האירופית לפעול להנחת תשתיות הגנה מפני איומי הטרור, וגם שם, כמו בארה"ב, ארגון התקינה האירופי (CEN) שותף לעשייה.
הגישה המקובלת שארגון תקינה נוקט כדי לאשר נושא לתקינה וכדי לקבוע תוכנית עבודה להכנת תקנים היא הגישה של Bottom–up, זאת אומרת: בעל עניין מגיש בקשה להכנת תקן, הנושא מאושר, והארגון מכין את התקן באמצעות ועדות תקינה. הארגון אינו מנתח את התמונה הרחבה, אלא מסתפק ביוזמות תקינה בדידוֹת ללא הכוונה כוללת וללא מטרה לכסות תחום מוגדר ורחב בצורה יעילה. קיימת גישה נוספת – Top–down, הדוגלת בהגדרת תחום רחב, בהצבת גבולות לתחום, במיפוי התקינה הקיימת, באיתור פערים ובאישור הכנת תקנים בהתאם לניתוח המערכתי. ארגון התקינה הבין-לאומי ISO, ארגון התקינה האמריקני ANSI וארגון התקינה האירופי CEN החליטו לפעול בגישת Top–down. ISO הקים קבוצה אסטרטגית המכונה SAG-S , ANSI ייסד את HSSP ו-CEN הקים את הוועדה האסטרטגית BT\WG 161. בשלושת הפורומים האלה יש לישראל נציגות.

SAG-S:
קבוצה אסטרטגית זו הוקמה בשנת 2004 במטרה למפות את התקנים הקיימים בתחום האבטחה והביטחון, לזהות פערים בתקינה ולהציע לארגון תוכנית פעולה שתשלים תהליך של הכנת תקנים. הקבוצה פרסמה דו"ח מקיף מאוד בשנת 2006, שהמלצותיו יושמו בחלקן על ידי ISO. הקבוצה ממשיכה לתפקד גם כיום.
HSSP:
פאנל זה הוקם בארה"ב בשנת 2003 וחברים בו נציגים ממשרדי הממשל, מהתעשייה, ממעבדות לאומיות ומכוחות המענה הראשוני (first responders). שיטת העבודה הייתה קיום סדנאות לתחום ספציפי, שבהן ניתחו המשתתפים את המצב הקיים, את התקנים הקיימים ואת הפערים שיש להשלים. הנושאים שנותחו הם: קשר בעת חירום/מצוקה, הגנה היקפית, תוכנית הכשרה לכוחות המענה הראשוני לאירוע שמעורב בו נשק להשמדה המונית, היערכות הסקטור הפרטי למקרי חירום ולרציפות עסקית, ביומטרייה, איומים ביולוגיים וכימיים, היערכות אזרחית, אבטחת מערכת החשמל והמשכיות האספקה, הפקת לקחים מההוריקן קתרינה, הערכת סיכונים, אבטחה קיברנטית (סייבר), פינוי אנשים עם מוגבלויות, אבטחת מערכות תחבורה, הרשאות ובקרת גישה בניהול אירועי חירום. הפאנל פעיל עדיין.
CEN – BT\WG 161:
קבוצת עבודה זו הוקמה בשנת 2003 (טרם מתקפות הטרור בלונדון ובספרד) ועסקה בתחום ההגנה והאבטחה של האזרח. במהלך עבודתה עסקה קבוצת העבודה במיפוי התחומים האלה: הגנה מפני טרור, אב"כ, הקטנת פשע, ניהול גבולות, שרשרת האספקה, תשתיות קריטיות, מקורות אנרגיה, אבטחת מקורות מים, שירותי חירום. קבוצת העבודה הגישה דו"חות בכל אחד מהתחומים וסיימה את עבודתה בשנת 2007.

מפת התקינה העולמית
מספר הארגונים וכמות התקנים בנושאים הרלוונטיים הם גדולים, ולכן תתמקד הסקירה שלפניכם בארגונים המפרסמים תקנים בתחום האבטחה והביטחון.
תקינה בין-לאומית:
בארגון התקינה הבין-לאומי ISO יש ועדות תקינה המפרסמות תקנים בתחום האבטחה והביטחון, ואלה הן:
הוועדה TC 223 – Societal Security – עוסקת בהכנת תקנים המתמקדים בניהול אירועים ומערכות ניהול עבור ארגונים המעוניינים להראות חוסן תפקודי או רציפות עסקית. קיימת גם יוזמה של נציג סין להכין תקן שיגדיר שיטות לאמוד את מידת ההיערכות של ארגון.
הוועדה TC 247 - Fraud countermeasures and controls – עוסקת בהכנת תקנים בתחום של מניעת זיופים.
ועדה זו גם פרסמה ב-2011 דו"ח, המפרט תחומים נוספים הראויים לתקינה.
הוועדה TC 8 – Ship and marine technology – הכינה תקנים בתחום אבטחת שרשרת האספקה.
הוועדה TC 224\WG 7 - Crisis management of water utilities - עוסקת בהכנת תקנים בתחום ניהול מפעלי מים בעיתות משבר.
הוועדה JTC 1\SC 27 - IT Security techniques – עוסקת בהכנת תקנים להגנה על מערכות מידע בארגונים.
הוועדה JTC 1\SC 37 – Biometrics – עוסקת בהכנת משפחת תקנים רחבה מאוד לביומטרייה.
בנציבות הבין-לאומית לאלקטרוטכניקה IEC יש ועדות תקינה המפרסמות תקנים בתחום האבטחה והביטחון, ואלה הן:
הוועדה TC 79 – Alarm and electronic security systems – עוסקת בהכנת תקנים למערכות אזעקה, מערכות וידאו ומערכות אינטרקום.
הוועדה TC 68 – Industrial-process measurement, control and automation – עוסקת בהכנת תקנים לאבטחת מידע ברשת למערכות בקרה תעשייתיות.
הוועדה TC 57 - Power systems management and associated information exchange – עוסקת בהכנת תקנים לאבטחת מידע ברשתות תקשורת המשמשות לניהול רשת החשמל.
תקינה אירופית:
בארגון התקינה האירופי CEN יש ועדות תקינה המפרסמות תקנים בתחום האבטחה והביטחון, ואלה הן:
הוועדה TC 239 – Supply chain security – עוסקת בהכנת תקנים בנושא אבטחת שרשרת האספקה.
הוועדה TC 384 – Airport and aviation security – פרסמה תקן המגדיר דרישות לחברה המספקת שירותי אבטחה לנמל תעופה או לחברת תעופה.
הוועדה TC 391 – Societal and Citizen Security – עוסקת בתחום האב"כ, ניהול סיכונים והכשרת כוח אדם לטיפול באירועי אסון.
הוועדה TC 388 – Perimeter protection – טרם החלה להכין תקנים, אך מצהירה כי תעסוק בכל הנוגע למערכות ולמוצרים בתחום ההגנה ההיקפית.
נוסף על ועדות התקינה, ארגון התקינה האירופי CEN פרסם 2 מסמכים ובהם הגדרות ודרישות לשירותי החירום ולציוד מגן אישי לציבור הרחב.
תקינה בארה"ב:
מערך התקינה האמריקנית שונה מאוד ממערך התקינה באירופה ובמזרח הרחוק. ארגון התקינה האמריקני אינו כותב תקנים, אלא מאשר תקנים שהוכנו על ידי ארגוני תקינה סקטוריאליים. להלן פירוט של הארגונים הגדולים המכינים תקנים אמריקניים בתחום האבטחה והביטחון:
NFPA – הארגון הלאומי להגנה מאש, שבו מאוגדים כוחות הכיבוי וההצלה האמריקניים. ארגון זה מכין תקנים אמריקניים המיועדים לכוחות הכיבוי שכולם מתאימים לתחום האבטחה והביטחון אך אציין 3 מהם: תקנים לכשירות אנשי כוחות ההצלה באירועים של חומרים מסוכנים ונשק להשמדה המונית; תקנים לציוד הגנה אישי, כולל ציוד מיוחד לטיפול באירועי חומרים מסוכנים; תקנים לניהול מצבי חירום.
ASTM – ארגון תקינה מהגדולים בארה"ב, אשר התחיל כארגון שהכין תקנים אמריקניים בתחום החומרים ושיטות הבדיקה. הארגון מכין תקנים במגוון רחב של תחומים, ולהלן דוגמות מתחום ביטחון האומה: תקנים למערכות גילוי נשק, לבחירת מערכת אבטחה, למערכות שיקוף לגילוי חומר נפץ וחומרי לוחמה כימיים, למחסומים לרכבים מתפרצים, לכספות, לגדרות, לחיישני פריצה ולהכשרת כוח אדם למצבי חירום. ארגון זה הכין מספר תקנים למערכות חילוץ מבניינים גבוהים, במסגרת פעילות שהובלה על ידי מכון התקנים הישראלי ומספר בעלי עניין ישראליים.
ASIS – איגוד של אנשים ותעשיות הפועלים בתחום האבטחה. ארגון זה מתרכז בהכנת תקני מערכות ניהול לחוסן תפקודי של ארגונים, לחברות אבטחה, לרבות חברות הפועלות באזורי לחימה, ולרציפות עסקית (business continuity). נוסף על כך הוא מכין תקנים בתחומי הערכת סיכונים והגנה פיזית לתשתיות.

תחום אבטחת המידע
בתחום זה ישנם בארה"ב מספר ארגוני תקינה, חלקם עוסקים באבטחת מידע ואבטחת רשתות וחלקם - באבטחת מערכות בקרה תעשייתיות. אציין כי המעבדה הלאומית הכפופה למשרד המסחר, NIST, מכינה תקנים רבים בתחום אבטחת מידע, אבטחת רשתות וביומטרייה. בתחום אבטחת מערכות בקרה תעשייתיות אציין 2 ארגוני תקינה בתחום החשמל - NERC ו- ISA .

גם מכון התקנים הישראלי הכין וממשיך להכין תקנים שעניינם אבטחה וביטחון, מהם תקנים בין-לאומיים מאומצים ומהם תקנים מקוריים וחדשניים. במאמר הבא אסקור את התקינה הישראלית ואתמקד בתקן אחד: ת"י 24001 – מערכות ניהול חוסן תפקודי של ארגון – דרישות והנחיות לשימוש.

 

אבטחה דיני עבודה חירום והמשכיות תפקודית טכנולוגיה באבטחה מהימנות מערכות מחשוב ושוב באבטחה מערכי אבטחה ניהול כללי