CENTRUM OPERACYJNE. Serce systemu bezpieczeństwa infrastruktury krytycznej.

Autor: Sergiusz Parszowski

Centrum operacyjne to miejsce, którego główną funkcją jest operacyjne zarządzanie bezpieczeństwem organizacji. Jest sercem systemu bezpieczeństwa, jednostką monitorującą i reagującą na zdarzenia mogące zakłócić realizację kluczowych procesów biznesowych. Centrum operacyjne (ang. Operational Centre) nie jest jedynym stosowanym nazewnictwem dla tego typu jednostek. Zasadniczo podobne funkcje i zadania realizują jakże liczne centra zarządzania kryzysowego (ang. Crisis Management Centres), centra nadzoru (ang. Surveillance Centres), centra dowodzenia (ang. Command Centres), centra monitoringu, centra monitorowania alarmów, centra monitorowania stanów alarmowych, centra odbiorcze alarmów (ang. Monitoring & Alarm Receiving Centres), dyspozytornie (ang. Dispatch Centres, Control Rooms), centra bezpieczeństwa (ang. Security Centres), punkty kontaktowe (ang. Contact Points), wartownie (ang. Guard Rooms) etc. W związku z tym, iż powyższe nazwy stosowane są często zamiennie, a także nie zawsze odpowiadają one w pełni funkcji, jaką pełni dane miejsce, w dalszej części posługiwać się będę jedynie tytułowym określeniem „centrum operacyjne” lub angielskim skrótem, używanym w normach – ARC (ang. Alarm Receiving Centre).

NORMALIZACJA
Pomimo że współczesne centra operacyjne coraz częściej wykraczają poza podstawową funkcję centrów monitoringu i odbioru alarmów (ang. Monitoring & Alarm Receiving Centres), niemniej jednak w przypadku obiektów infrastruktury krytycznej wymagania określone w normach serii PN-EN 50518: Centrum monitoringu i odbioru alarmu powinny być standardem referencyjnym. Wymagania dotyczące rozmieszczenia, konstrukcji, wyposażenia oraz procedur możemy znaleźć w poniższych standardach:

  • PN-EN 50518-1:2014-07 (wersja angielska): Centrum monitoringu i odbioru alarmu. Część 1: Wymagania dotyczące rozmieszczenia i konstrukcji,
  • PN-EN 50518-2:2014-07 (wersja angielska): Centrum monitoringu i odbioru alarmu. Część 2: Wymagania techniczne,
  • PN-EN 50518-3:2014-07 (wersja angielska): Centrum monitoringu i odbioru alarmu. Część 3: Procedury i wymagania dotyczące działania.

Wymienione normy mają zastosowanie zarówno wobec centrów monitoringu dedykowanych jednemu obiektowi, jak również obsługujących wiele obiektów (niezależnie, czy należą one do tego samego czy też różnych operatorów). Warto podkreślić również, że powyższe standardy powinny być stosowane łącznie, co faktycznie znajduje odzwierciedlenie w treści tych dokumentów, z uwagi na zawarte w nich liczne wzajemne odwołania. Nie jest zatem możliwe stosowanie tych standardów oddzielnie.

Zapewnienie zgodności funkcjonowania ARC z lokalnymi wytycznymi i przepisami prawa, normami technicznymi i standardami ochrony infrastruktury krytycznej jest jednym z najważniejszych kroków w procesie ochrony infrastruktury krytycznej i przygotowania operatora do jej odtworzenia, gdy będzie to konieczne.

INFRASTRUKTURA
W czasie projektowania centrum operacyjnego należy zwrócić uwagę przede wszystkim na odpowiednie przepisy prawa budowlanego, przepisy przeciwpożarowe, przepisy bezpieczeństwa i higieny pracy oraz przepisy prawa pracy. Wybierając lokalizację, bierze się pod uwagę występujące w danym miejscu ryzyka: pożarowe, wybuchowe, powodziowe, związane z przestępczością pospolitą oraz pozostałe, które mogą mieć negatywny wpływ na zapewnienie ciągłości działania. Wszystkie pomieszczenia wchodzące w skład centrum operacyjnego powinny posiadać solidną konstrukcję, gwarantującą bezpieczeństwo i ochronę znajdujących się tam osób oraz zasobów informacyjnych. Szczególną uwagę należy zwrócić przede wszystkim na konstrukcję, odporność ogniową i wytrzymałość: zewnętrznych ścian, podłóg i sufitów, wszystkich wejść i wyjść, zewnętrznych przeszkleń, a także na kanały wentylacyjne i klimatyzacyjne, szachty i kanały teletechniczne, drogi kanalizacyjne, jak również śluzy i systemy transferowe.

Wnętrze ARC nie może być widoczne w żaden sposób z zewnątrz. „Skorupa” centrum operacyjnego, czyli ściany zewnętrzne i ściany wewnętrzne przedsionka ARC oraz stropy, powinna spełniać wymagania określone w normie PN-EN 50518-1: 2014-07, w tabeli 1. I tak np. solidny mur powinien mieć min. 20 cm grubości, ściana z lanego betonu min. 15 cm grubości, a ściana z żelbetu min. 10 cm grubości. W przypadku zewnętrznych drzwi oraz zewnętrznych przeszkleń odporność na fizyczny atak powinna odpowiadać odpowiednio poziomowi RC3 (ang. Resistance Class 3) – w poprzedniej normie, z 2010 r., było to RC4 – zgodnie z normą PN-EN 1627:2012: Drzwi, okna, ściany osłonowe, kraty i żaluzje. Odporność na włamanie. Wymagania i klasyfikacja i poziomowi P6B zgodnie z normą PN-EN 356:2000: Szkło w budownictwie. Szyby ochronne. Badania i klasyfikacja odporności na ręczny atak, natomiast odporność na atak bronią palną powinna odpowiadać odpowiednio poziomowi FB3 zgodnie z normą PN-EN 1522:2000: Okna, drzwi, żaluzje i zasłony. Kuloodporność. Wymagania i klasyfikacja oraz BR3-S – w poprzedniej normie, z 2010 r., było to BR4-S – zgodnie z normą PN-EN 1063:2002 Szkło w budownictwie. Bezpieczne oszklenia. Badanie i klasyfikacja odporności na uderzenie pocisku. Oczywiście punktem wyjścia dla wdrożenia wszystkich środków zabezpieczeń powinna być przeprowadzona uprzednio kompleksowa analiza ryzyka (udokumentowana i cyklicznie powtarzana).

Centra operacyjne powinny być pomieszczeniami szczególnie chronionymi, dostępnymi wyłącznie dla ograniczonej grupy osób. Część budynku przeznaczoną na ARC należy odseparować od pozostałych powierzchni tak dobrze, jak to tylko możliwe. Wejście powinno prowadzić przez przedsionek wyposażony w system podwójnych drzwi, połączonych ze sobą w taki sposób, by nie było możliwe ich równoczesne otwarcie (system śluzy). Co więcej, standardem powinno być wyposażenie tychże drzwi w urządzenia do samozamykania i blokowania. Centrum operacyjne obligatoryjnie należy wyposażyć w dodatkowe wyjście ewakuacyjne, otwierane wyłącznie od wewnątrz. Wszystkie wejścia i wyjścia powinny być rejestrowane (rys. 1).

Centra operacyjne zabezpiecza się systemami sygnalizacji włamania i napadu, kontroli dostępu, dozoru wizyjnego, sygnalizacji alarmu pożarowego, detekcji gazu oraz monitorowania bezpieczeństwa personelu. System sygnalizacji włamania i napadu powinien być wykonany co najmniej na poziomie stopnia 3. Zgodnie z wymaganiami normy PN-EN 50131-1:2009: Systemy alarmowe. Systemy sygnalizacji włamania i napadu. Część 1: Wymagania systemowe. W obiektach IK systemy kontroli dostępu powinny stosować dwukierunkową, kodowaną transmisję, ze wzajemnym uwierzytelnianiem pomiędzy identyfikatorem a kontrolerem (centralą), zaś w przypadku współdzielenia sieci komputerowej szyfrowana komunikacja powinna obejmować wszystkie elementy systemu kontroli dostępu. W przypadku braku własnego całodobowego centrum operacyjnego monitorowanie i odbiór sygnałów z elektronicznych systemów zabezpieczeń należy powierzyć zewnętrznemu ARC. Centrum operacyjne musi być podłączone do centrum rezerwowego, które nie może znajdować się w tym samym budynku. Przełączenie do rezerwowego ARC musi odbywać się samoczynnie, jeżeli wynik automatycznej kontroli personelu, odbywającej się w odstępach nie dłuższych niż 60 min, będzie negatywny w ciągu 60 s od momentu rozpoczęcia weryfikacji.

Zasilanie elektryczne powinno gwarantować działanie wszystkich witalnych systemów (również oświetlenia i wentylacji) przez min. 24 h, przy możliwości dostarczenia 1,5 razy większej mocy niż średnie zapotrzebowanie centrum operacyjnego, z tym że automatyczne przełączenie na zasilanie z agregatu prądotwórczego musi być buforowane przez co najmniej 10 min przez UPS-y. Zaleca się, aby UPS-y i generatory znajdowały się wewnątrz przestrzeni chronionej ARC, a jeżeli nie jest to możliwe – w obiekcie przynajmniej tak samo zabezpieczonym jak ARC.

WYPOSAŻENIE TECHNICZNE (KOMUNIKACJA)
Centrum operacyjne powinno mieć możliwość śledzenia komunikacji pomiędzy wszystkimi pracownikami służb ochrony oraz stosownie reagować na pojawiające się komunikaty. Możliwość monitorowania aktualnej pozycji strażników czy lokalizacji mobilnych grup interwencyjnych to dodatkowe korzyści. Jeżeli centrum operacyjne pełni jednocześnie funkcję centrum monitorowania alarmów, wówczas kluczowe jest monitorowanie logów systemowych, jak również otrzymywanie sygnałów alarmowych (pożarowych, włamaniowych, napadowych, sabotażowych itp.). Wszystkie działania podejmowane przez operatorów powinny być rejestrowane i przechowywane przez okres 24 miesięcy (chyba że odrębne przepisy stanowią inaczej).

Jedna z podstawowych możliwości, jaką powinno posiadać centrum operacyjne, to możliwość bieżącego przekazywania istotnych informacji przez radiotelefony, telefony komórkowe lub inne urządzenia telekomunikacyjne, np. domofon do komunikacji z obsługą ARC. W sytuacji zaistnienia incydentu centrum operacyjne musi mieć możliwość niezwłocznego poinformowania o zdarzeniu odpowiednich służb, straży czy inspekcji. Zapisy wszystkich połączeń telefonicznych i radiowych powinny być przechowywane przez minimum 3 miesiące (chyba że odrębne przepisy stanowią inaczej). Z uwagi na obowiązujące regulacje dotyczące ochrony danych osobowych zaleca się, by zarejestrowane nagrania przechowywać na terenie krajów zaliczanych do Europejskiego Obszaru Gospodarczego. W związku z tym koniecznym może być odrzucenie niektórych rozwiązań wykorzystujących zewnętrzne serwery.

ORGANIZACJA
Na pytanie o reguły zarządzania centrum operacyjnym również nie trzeba długo szukać odpowiedzi. Jednym z rekomendowanych systemów zarządzania, szczególnie w sytuacjach, gdy centrum operacyjne świadczy również usługi klientom zewnętrznym, może być system oparty na normach z rodziny PN-EN 9001.

Wymagania standardów obejmują m.in.:

  • określenie wizji, ustanowienie celów, wskazania kierunku oraz zarządzanie ryzykami poprzez opracowanie spisanej strategii, biorącej pod uwagę potrzeby i oczekiwania wszystkich interesariuszy;
  • zapewnienie bieżącego monitoringu środowiska biznesowego, jak również osiąganych wyników;
  • zapewnienie stałej komunikacji ze wszystkimi interesariuszami w celu utrzymania wysokiej świadomości w zakresie świadczonych usług bezpieczeństwa i ochrony.

Centrum operacyjne powinno posiadać jasno zdefiniowaną strukturę zarządzania, precyzyjnie określającą zakres odpowiedzialności oraz osoby nadzorujące na każdym poziomie zarządzania. Z uwagi na szczególne funkcje realizowane przez centra operacyjne konieczne jest również posiadanie systemu zarządzania ryzykiem oraz systemu zarządzania kryzysowego, obejmującego wszystkie aspekty ciągłości działania, w szczególności oporności biznesu oraz przywracania procesów i usług krytycznych.

W niektórych przypadkach przydatne może być również opracowanie Kluczowych Wskaźników Efektywności (ang. Key Performance Indicators). Zadanie to nie należy jednak do najłatwiejszych, wymaga dokładnego zastanowienia się nad tym, co powinniśmy mierzyć i w jaki sposób. Niewłaściwe założenia i błędne wykonanie mogą bowiem prowadzić do występowania różnego rodzaju patologii i skutków przeciwnych do zamierzonych.

PROCEDURY
Centrum operacyjne powinno zostać zaprojektowane w taki sposób, by mogło one wykonywać następującefunkcje:

  • udzielanie pomocy, porad i informacji dla pracowników ochrony oraz przełożonych, zarówno w działaniach rutynowych, jak również w sytuacjach kryzysowych;
  • monitorowanie pracowników ochrony oraz pracowników nadzoru przy wykorzystaniu udokumentowanych procedur telefonicznych, radiowych lub innych procedur komunikacyjnych;
  • rejestrowanie wszystkich rutynowych spraw i zdarzeń nadzwyczajnych.

Właściwe funkcjonowanie centrum operacyjnego wymaga opracowania zestawu standardowych procedur operacyjnych (ang. Standard Operating Procedures). Standardowe procedury operacyjne powinny być dostępne dla tych wszystkich, dla których sprawowana funkcja lub zajmowane stanowisko tego wymagają. Obowiązujące procedury i instrukcje powinny być poddawane okresowym przeglądom i w razie potrzeby niezwłocznie aktualizowane.

Standardowe procedury operacyjne powinny określać działania, jakie należy podjąć po otrzymaniu informacji o incydencie, wskazywać przypadki i formy powiadamiania wyższego personelu, jak również metody rejestrowania incydentów. Procedury lub instrukcje reagowania na zagrożenia w zakresie bezpieczeństwa fizycznego powinny obejmować m.in. przypadki napadu lub włamania, procedurę postępowania w przypadku ataku terrorystycznego, współpracę ze służbami ochrony bezpieczeństwa i porządku publicznego, współpracę ze specjalistycznymi uzbrojonymi formacjami ochronnymi, postępowanie w przypadku wystąpienia awarii elektronicznych systemów alarmowych. Nie można zapominać również o nowych zagrożeniach, jak niebezpieczeństwo obserwacji lub ataku na obiekt IK przy wykorzystaniu bezzałogowego statku powietrznego czy zagrożenia dotyczące cyberprzestrzeni. Wspomniany wcześniej rejestr incydentów jako minimum powinien zawierać:

  • datę, godzinę i lokalizację incydentu oraz kolejnynumer pozycji;
  • datę i godzinę sporządzenia raportu, wskazanie jego autora oraz odbiorców raportu;
  • opis przebiegu incydentu;
  • podjęte działania, w tym raportowanie;
  • następne działania, które powinny zostać podjęte;
  • dane kontaktowe do osób, które były świadkami zdarzenia.

Zgłoszenia powinny być numerowane seryjnie i powinny zawierać godzinę i datę incydentu oraz nazwę operatora, który dokonał rejestracji incydentu.

Standardowe procedury operacyjny powinny regulować również: zasady dostępu i organizację pracy centrum operacyjnego, przeprowadzania okresowych sprawdzeń i testów, obsługę zgłoszeń alarmowych, zarządzania informacjami oraz danymi, zapewnienie ciągłości działania i postępowania w sytuacjach awaryjnych.

Opracowywane plany ciągłości działania powinny przygotowywać organizację na wypadek:

  • całkowitej awarii użytkowanych systemów;
  • usterki lub uszkodzenia sprzętu i systemów komunikacyjnych;
  • pożaru budynku lub sąsiednich nieruchomości;
  • powodzi, podtopień lub zalań;
  • uszkodzenia spowodowanego przez burze i błyskawice;
  • zakłóceń na sieciach elektroenergetycznych i telefonicznych;
  • wypadków i katastrof komunikacyjnych;
  • awarii technicznych i przemysłowych;
  • celowych i złośliwych zniszczeń, zdarzeń kryminalnych;
  • przypadków szantażu, zagrożeń bombowych lub terrorystycznych.

Jeżeli chodzi o procedury ewakuacyjne, to powinny one przewidywać zarówno całościową, jak również częściową ewakuację. Z góry należy również zaplanować procedurę powrotu i przywrócenia normalnego funkcjonowania obiektu. Wszyscy pracownicy ARC powinni zapoznać się z procedurami awaryjnymi i przechodzić okresowe ćwiczenia, nie rzadziej niż co 6 miesięcy.

PERSONEL
Osoby tworzące personel centrum operacyjnego powinny przejść wcześniejszą procedurę sprawdzenia, mającą na celu wyselekcjonowanie spośród kandydatów wyłącznie tych osób, które dają rękojmię zachowania tajemnicy, i jednoczesne odrzucenie tych kandydatur, których życiorysy oraz inne ujawnione fakty na ich temat mogłyby rodzić jakiekolwiek obawy co do możliwości ich zatrudnienia. Oczywiście, wszyscy pracownicy powinny być zdolni przedstawić aktualne zaświadczenie o niekaralności. Norma wskazuje konieczność badania przeszłości pracowników ARC min. 5 lat wstecz lub w okresie od zakończenia edukacji, która odbywała się w pełnym wymiarze godzin w trybie dziennym.

Liczba stanowisk operatorskich powinna odpowiadać występującemu obciążeniu centrum operacyjnego, niemniej jednak rekomenduje się posiadanie przynajmniej dwóch operatorów na zmianie. Alternatywnym rozwiązaniem może być model, w którym jednoosobowe stanowisko operatorskie jest w razie potrzeby wspierane lub zastępowane przez operatorów innego centrum operacyjnego, stanowiącego jednocześnie centrum zapasowe dla tego pierwszego.

Operatorzy centrum operacyjnego muszą być odpowiednio przygotowani do pełnienia swojej roli i posiadać nieograniczony dostęp do:

  • wszystkich istotnych planów, procedur oraz instrukcji. Kopie standardowych procedur operacyjnych
  • powinny być wydrukowane i dostępne dla operatora na wyciągnięcie ręki;
  • informacji o liczebności pracowników ochrony na poszczególnych zmianach, obsadzonych posterunkach, pełnionych przez nich rolach oraz realizowanych zadaniach;
  • wszystkich zgłoszonych awizacji, informacji o zapowiedzianych wizytach gości, wewnętrznej książki
  • adresowej;
  • planów awaryjnych oraz planów ciągłości działania w przypadku pożaru, powodzi, zagrożenia bombowego czy innych podobnych zagrożeń;
  • zestawienia numerów telefonów (ewentualnie
  • pozostałych danych kontaktowych) na wypadek
  • sytuacji awaryjnych;
  • zestawienia numerów telefonów (ewentualnie pozostałych danych kontaktowych) do instytucji znajdujących się w najbliższym otoczeniu, instytucji publicznych oraz innych;
  • rejestru kluczy przechowywanych w centrum operacyjnym (jeśli dotyczy).

Wszystkie najważniejsze numery telefonów powinny być zaprogramowane w aparacie telefonicznym. W przypadku nieudanej próby kontaktu z osobą przy wykorzystaniu pierwszego numeru telefonu operator powinien mieć możliwość wykonania dodatkowego połączenia, na numer zapasowy.

SZKOLENIA
Szkolenie podstawowe powinno być prowadzone dla wszystkich członków personelu bezpieczeństwa, niezależnie od dotychczasowego doświadczenia, wymiaru czasu pracy czy formy zatrudnienia. W szkoleniu powinni uczestniczyć również przedstawiciele kontraktorów. Zakres tematyczny musi być dostosowany do specyfiki chronionych obiektów, obowiązujących regulacji prawnych oraz organizacji centrum operacyjnego, przy czym jako minimum powinny zostać poruszone następujące zagadnienia:

  • zakres prowadzonych działań i operacji;
  • szczegółowe wyjaśnienie funkcji i roli;
  • procedury komunikacji radiowej i telefonicznej;
  • procedury komunikacji kryzysowej;
  • zasady rejestrowania zdarzeń oraz wykorzystania materiałów;
  • wyjaśnienie zaimplementowanego systemu ochrony.

W przypadku, gdy uczestnikami szkolenia są przede wszystkim osoby bez wcześniejszego przygotowania i doświadczenia na podobnym stanowisku, jego zakres tematyczny powinien uwzględniać również wprowadzenie do zadań i obowiązków pracowników ochrony:

  • przepisy prawa;
  • patrolowanie i podejmowanie interwencji;
  • sprawdzanie uprawnień;
  • przeszukiwanie;
  • organizacja działań ochronnych;
  • ochrona przeciwpożarowa;
  • sytuacje awaryjne;
  • bezpieczeństwo i higiena pracy;
  • dbałość o klienta i umiejętności społeczne;
  • komunikacja i raportowanie;
  • równość i różnorodność;
  • umiejętności komunikacyjne i rozwiązywanie konfliktów.

Szkolenie powinno zostać przeprowadzone przez kompetentny i wykwalifikowany personel, a jego integralną częścią powinno być sprawdzenie, w jakim stopniu treści szkolenia zostały przyswojone przez jego uczestników. Okresowe szkolenia przypominające powinny być stałym elementem systemu doskonalenia personelu, a znajomość obowiązujących procedur i umiejętność obsługi elektronicznych systemów zabezpieczeń pośród operatorów powinna być na bieżąco weryfikowana.

PODSUMOWANIE
Powyższe zalecenia nie wyczerpują wymogów zapisanych w normach serii PN-EN 50518. Trzeba wiedzieć, że w CENELEC trwają prace nad nową normą, która obejmie zakres norm aktualnie dostępnych, ale zostanie rozszerzona część dotycząca procedur i procesów. Obecnie obowiązujące normy grup PN-EN 50518 z 2014 r. zastąpiły normy wydane w latach 2010/2011, które były bardziej restrykcyjne. Dlatego warto, tworząc centrum operacyjne na potrzeby bezpieczeństwa infrastruktury krytycznej, sięgnąć również do norm wcześniejszych. I na koniec jeszcze jedna uwaga dla tworzących centra monitorowania alarmów – Komenda Główna Policji ma własne wytyczne dotyczące stacji monitorowania alarmów i warto się również z nimi zapoznać.

Powiązane

Akcja i reakcja

24.01.2018

New Airport Security System Unveiled

30.10.2017

Popularne

Zrób to sam. Kamera termowizyjna Część II
26.02.2018
Kamera termowizyjna. Część I
15.01.2018
Licencja na zakochanie.
02.09.2018

Sec&As

COPYRIGHT © 2017 RIPOSTA. WSZELKIE PRAWA ZASTRZEŻONE. PROJEKT I REALIZACJA: RIPOSTA