תקינה ותקנים בתחום ביטחון האומה – תקינה ישראלית

תאריך פרסום: 
20/05/2013

מאמר זה הוא השלישי והאחרון בסדרת מאמרים בתחום התקנים בעולם האבטחה, והוא מתמקד בתקנים הישראליים. מאמר זה עוסק ברובו בהצגת תקן ישראלי מקורי – התקן הישראלי ת"י 24001 משנת 2011: מערכות ניהול חוסן תפקודי של ארגון (מנחת"א) – דרישות והנחיות לשימוש.
בעשור האחרון אירעו שינויים מהותיים באורח החיים של אזרחי העולם בעקבות איומים ומעשי טרור. תרחישי טרור שפעם היו דמיוניים, כגון טרור גרעיני, איומים של טרור ביולוגי ועוד תרחישי בלהות הפכו לתרחישי ייחוס, וכתוצאה מכך נעשה האזרח מוכן להתפשר על זכויותיו ולאפשר לרשויות להיערך ולשפר את רמת הביטחון של האזרחים. הנושא בולט מאוד בתחום התעופה: המשתמשים בשירותי התעופה חייבים לעבור בידוק שהוא לפעמים פולשני מאוד, מוותרים על האפשרות להעלות נוזלים לטיסה, ובמקרים רבים אף מוכנים למסור דגימות ביומטריות, דבר המאפשר עוד רמה של פלישה לפרטיות. שינויים אלו מחייבים אסדרה, ואחת השיטות לאסדרה זו היא הכנת תקנים.
מכון התקנים הישראלי מפעיל כמה ועדות תקינה המכינות ומאשרות תקנים ישראליים. דוגמות לתקנים בתחום הביטחון הן: תקנים למרחבים מוגנים דירתיים (ממ"ד), תקנים למערכות סינון, תקנים למצלמות אבטחה, תקנים לגדרות התרעה, תקנים בתחום אבטחת המידע, תקנים בתחום הביומטריה ותקנים למערכות ניהול שונות. בוועדות תקינה אלה משתתפים נציגים ומומחים מסקטורים רבים, ובהם התעשייה, היבואנים, הקבלנים, משרדי הממשלה, האקדמיה, גופי הביטחון (משטרה, צבא, שירות הביטחון הכללי ועוד), תשתיות לאומיות, ויועצים מהסקטור הפרטי. במהלך הכנת התקנים הישראליים עוברות טיוטות התקנים ביקורת ציבורית, כך שלא רק קבוצה קטנה של מומחים ובעלי עניין קובעים את תוכן התקן, אלא למעשה הציבור כולו יכול להשפיע עליו. חלק מהתקנים הישראליים הם אימוץ של תקני חוץ, אך חלקם תקנים מקוריים שהוכנו בעקבות דרישה של בעל עניין ישראלי.
התקן הישראלי ת"י 24001 הוא תקן למערכות ניהול. המשמעות של תקן כזה היא, שהוא קובע כללים לגבי האופן שבו ארגונים מנהלים את נושא הביטחון, ואינו קובע ערכים מוחלטים למדידה ולקביעה העמידה בדרישות. התקן מבוסס על התקן הישראלי ת"י 9001 (ISO 9001): מערכות ניהול איכות - דרישות. עם זאת הוכנסו בתקן שינויים רבים המשקפים את הייחודיות של תקן בנושא ביטחון, התגובה והטיפול באירועים משבשים וכן ההתאוששות מאירועים כאלה. חברי הוועדה באו מתחומי הביטחון, הגנת העורף, התעשייה והתקינה.
כתנאי ראשון, התקן דורש מהנהלת הארגון להנהיג את המערכת. מנהיגות זאת מתבטאת בקביעת בעלי תפקידים מתאימים, בהקצאת משאבים (כוח אדם, ציוד ועוד), בקביעת יעדים ובבקרה של פעילות המערכת.
במערכת ניהול הפועלת על פי התקן נדרשים תהליכים מובְנים ומתועדים של סקר סיכונים ביטחוניים, קביעת יעדים ומטרות ותכנון האמצעים להשגתם, מנגנוני תקשורת בארגון ועוד. הארגון עורך בדיקות שוטפות כדי לוודא שכל הגורמים בו פועלים בהתאם להנחיות, ושביצועי המערכת אכן תואמים את חזונו ואת יעדיו של הארגון.
כיצד מתבצעת הקמת המערכת בפועל?
צעדים ראשונים
הנהלת הארגון בוחנת את הצורך ואת הכדאיות שבהקמת מערכת ניהול לנושא שנבחר (כגון בטיחות, איכות הסביבה, חוסן ארגוני). חשוב שההנהלה תשתכנע בערך המוסף של יישום המערכת, מאחר שהדבר דורש הקצאת זמן של המנהלים והקצאה של משאבים. הנהלה שנכנסה לתהליך ללא ביטחון מוצק בצורך במערכת כזו לא תפעיל אותה בצורה הנדרשת.
משקיבלה ההנהלה החלטה להקים מערכת ניהול, היא קובעת נציג מטעמה ("נציג ההנהלה") האחראי להקמה ולתפעול של המערכת ולדיווח להנהלה על ביצועי המערכת. כמו כן נקבע תקציב ראשוני.
נציג ההנהלה ממנה עובד מתאים שיעמוד בראש צוות ההקמה. מקובל לבחור באדם בעל מוטיבציה לנושא, המסוגל להתמודד עם מכלול הנושאים הניהוליים והטכניים. כמו כן רצוי שיהיו לו כישורי תקשורת, מאחר שהתפקיד מחייב תקשורת עם גורמים רבים בארגון, מרמת ההנהלה ועד לרמת העובדים.
נוסף על כך, רצוי להקים צוות היגוי המורכב מבעלי מקצוע מתחומים רלוונטיים שונים – ביטחון, היערכות לחירום, לוגיסטיקה, משאבי אנוש ועוד. הגיוון של אנשי הצוות והידע המקצועי שהם מביאים, כל אחד מתחומו, מעשיר את תהליכי הזיהוי של הצרכים ואת קביעת הפתרונות. במפעלים בהם יש כמויות משמעותיות של חומרים מסוכנים חשוב לשתף את ממונה הבטיחות היכול לזהות את ההיבטים הביטחוניים של קיום חומרים אלו.
צוות ההיגוי עורך בדיקה ראשונית של המידע הקיים – דרישות ואילוצים מול מצב הארגון, מסכם את הנתונים ומגיש אותם להנהלת הארגון. הנהלת הארגון קובעת בעקבות זאת את המדיניות, המתבססת בין השאר על היעדים האסטרטגיים של הארגון ועל המסמך של צוות ההיגוי. מסמך המדיניות הוא הבסיס לכל פעילויות המערכת.

איסוף מידע
צוות ההיגוי מבצע את הפעילויות האלה:
 מכין ומבצע תוכנית של סיורים באתרים שונים במפעל וראיונות עם גורמים במפעל. התוכנית כוללת שאלונים מתאימים לתחומים המקצועיים של המפעל ולוח זמנים לביצוע הביקורים. מטרת הראיונות והסיורים היא למפות את הפעילויות ואת הנכסים העלולים להיחשף לסיכונים, לזהות את העובדים שיכולים לסייע למערכת וכדומה
 בוחן את הנהלים הקיימים ומזהה את התוספות שיש להוסיף או לחלופין את ההנחיות החדשות שיש לכתוב כדי לעמוד בדרישות המערכת
 בוחן כלי ניהול קיימים בארגון שניתן להשתמש בהם לטובת המערכת (תוכנה לניהול מטלות, מערכת לבקרת מסמכים, מערכות לוגיסטיות)
 מזהה שיטות וטכנולוגיות קיימות העשויות לסייע למערכת
 מזהה מציינים (אינדיקאטורים) היכולים להצביע על התפתחות איומים לארגון
 מזהה מתקנים וציוד קיימים היכולים לשמש לטובת המערכת
 במערכות העוסקות במצבי חירום, הצוות מזהה עובדים וציוד הניתנים להפעלה במקרים כאלה

בהתאם לתוצאות הסיורים והראיונות, הצוות מכין:
 תוכניות עבודה חד-פעמיות ותוכניות ארוכות טווח
 תוכניות הצטיידות
 תוכניות הדרכה והכשרה
 נהלים

בסיומו של שלב זה מוקמת מערכת הניהול. בהמשך תעודכן המערכת באופן שוטף בהתאם לתנאי הסביבה שבה היא פועלת, כגון על בסיס של דרישות חדשות או איומים חדשים, הבשלה של שיטות וטכנולוגיות המסייעות ליעדי הארגון, הפקת לקחים מהצלחות ומכשלים וכדומה.

בקרת תפקוד הארגון
כדי למלא את השאיפה ל'אפס ליקויים', צריכה להיות מערכת משוכללת הנותנת משוב על הישגי הארגון ומבצעת בזריזות פעולות מתקנות כשמתגלות חריגות.
לצורך כך הארגון מקיים מערכת של בדיקות מסוגים שונים:
 סקרי ליקויים - לזיהוי חריגות העלולות לגרום לכשלים
 סקרי סיכונים - לזיהוי סיכונים לפני שיתממשו צמצומם
 סקרי עמידה בדרישות החוק ובדרישות הלקוחות - לזיהוי חריגה מהמחויבויות של הארגון
 מבדקים הבוחנים עמידה בדרישות מערכת הניהול. בארגונים גדולים המבדקים נערכים על ידי גורמי הסמכה חיצוניים, עורכי מבדקים פנימיים ולעתים על ידי נציגי הלקוחות
כדי שהנהלת הארגון תהיה בטוחה שכל הליקויים מתוקנים, הארגונים מקיימים תהליכים מוסדרים של טיפול באי התאמות. במסגרת תהליך זה, כל זיהוי של ליקוי (על ידי עורכי הסקרים הפנימיים, עורכי המבדקים, הרשויות ועוד) חייב להיות מלווה בתיעוד, בקביעת התיקון הנדרש, בקביעת הגורם האחראי לתקן את הליקוי ופרק הזמן הנדרש לתיקון הליקוי. תהליך זה מבוצע כיום בדרך כלל במערכות ממוחשבות, המתריעות על אי ביצוע התיקונים בזמן.
בסקר ההנהלה נמסר המידע על מצב הארגון להנהלה, והיא בוחנת את מצב המערכת מול ההנחיות שלה, מקבלת הערכת מצב על השינויים הצפויים בסביבת העבודה של הארגון ועל השלכותיהם הצפויות על הארגון ומעדכנת את ההנחיות בהתאם.
הייחודיות של התקן הישראלי ת"י 24001 היא בכך, שהוא כולל דרישות המחייבות את הארגון לבחון סיכונים לארגון גם בהיבט של ההסתברות להתממשות הסיכון וגם בהיבט של השלכות הסיכון אם הוא יתממש. התקן הישראלי ת"י 24001 מכין את הארגון לפעול הן למניעת הסיכון, הן כאשר הסיכון הופך לאירוע ולבסוף גם בתהליך של התאוששות והמשכיות.

לסיכום:
אתגרי ביטחון האומה הלאומיים והגלובליים מתרבים והולכים, הן בכמות והן במורכבות, והרשויות וארגוני הביטחון חייבים להתעלות מעל לחשיבה המקובלת ולחשוב כיצד ניתן לנצל תשתיות לאומיות קיימות, שאינן בהכרח בתחום הביטחון והאבטחה, לטובת שיפור ההיערכות בכל הרמות כדי להתמודד עם אתגרי ביטחון האומה. מכון התקנים הוא תשתית לאומית להכנת תקנים ולביצוע בדיקות והתעדות בתחומים רבים, תשתית שתמשיך ותתפתח גם בכיוון של ביטחון האומה.

אבטחה דיני עבודה חירום והמשכיות תפקודית טכנולוגיה באבטחה מהימנות מערכות מחשוב ושוב באבטחה מערכי אבטחה ניהול כללי