Veileder og mal for utarbeidelse av sårbarhetsvurdering (PFSA) for havneanlegg

Transkript

1 Veileder og mal for utarbeidelse av sårbarhetsvurdering (PFSA) for havneanlegg Sveinung Hustoft Grethe Westre Seniorrådgiver Haugesund,

2 Plan for denne økten Krav til sårbarhetsvurdering Kort om ny mal og veileder Hvorfor ny mal? Forskjellen mellom ny og gammel mal? Roller og ansvar Trinnene i en sårbarhetsvurdering

3 Hvorfor utføre sårbarhetsvurdering Forskrift om sikring av havneanlegg 9 Sårbarhetsvurdering av havneanlegg Det skal gjennomføres en sårbarhetsvurdering for hvert havneanlegg Sårbarhetsvurderinger kan gjennomføres av Kystverket eller godkjent sikringsvirksomhet. En sårbarhetsvurdering som er gjennomført av en godkjent sikringsvirksomhet skal godkjennes av Kystverket. Sårbarhetsvurderingen skal minst tilfredsstille de krav som fremgår av ISPS-koden del A kapittel 15 og del B Tilsvarende 8 i forskrift om sikring av havner

4 Regelverket A 15.1 Sårbarhetsvurderingen av et havneanlegg er en vesentlig og integrert del av prosessen med å utarbeide og ajourføre et havneanleggs sikkerhetsplan. A 15.4 Sårbarhetsvurderingen av havneanlegget skal revideres og ajourføres regelmessig, idet det tas hensyn til endringer med hensyn til trusler og/eller mindre endringer i havneanlegget, og den skal alltid revideres og ajourføres når det foretas større endringer i havneanlegget. EU-forordning 725/2004, Artikkel 3 den periodiske revisjonen av sårbarhetsvurderingen for havneanlegget, gjennomføres innen fem år etter at vurderingen sist ble utført eller sist ble revidert.

5 NS 5832 : 2014 Beskyttelse mot tilsiktede uønskede handlinger En serie med nasjonale standarder som retter seg mot beskyttelse mot tilsiktede uønskede handlinger. Innfører et nytt risikobegrep: Sikringsrisiko = Verdi x Trussel x Sårbarhet (NS 5814: Risiko = sannsynlighet x konsekvens)

6 NS 5832 : 2014 Beskyttelse mot tilsiktede uønskede handlinger Samsvarer godt med ISPSkoden og tilhørende IMO-guide RISK = THREAT (trussel) x IMPACT (verdi/konsekvens) x VULNERABILITY (sårbarhet)

7 Ny mal og veileder PFSA Hvorfor? Dagens mal kom i juni 2014, og de fleste RSOer benytter denne i dag. Erfaring ved bruk av malen viste behov for revisjon. Må forbedres både for å oppfylle krav i koden og NS 5832:2014.

8 Ny mal og veileder PFSA Hvorfor? Flere virksomheter legger NS 5832:2014 til grunn for sikringsrisikoanalyser. PFSA skal kunne inngå som del av virksomhetens øvrige sikringsrisikostyring.

9 Hva er nytt? Skiller mellom mal og veileder. Helhetlig analyse med delkonklusjoner. Nytt trinn: Trinn 6 risiko. Bedre samsvar med ISPS-koden og NS 5832:2014. Bedre metodisk, analytisk og klarere begrepsbruk.

10 Roller og ansvar Kystverket RSO Havneanlegg Kystverket hovedkontor godkjenner RSO til å gjennomføre PFSA. Gjennomføre sårbarhetsvurderinger. Ansvar for at sårbarhetsvurdering blir utarbeidet. Regionkontorene godkjenner PFSA utarbeidet av RSO og fører tilsyn med gjennomføring. Prosjektleder Ansvarlig for at riktig kompetanse innhentes i analyseprosessen. Delta i prosess med informasjon og kunnskap om bedriften, havneanlegget og lokale forhold. Risikoeier: Ansvar for at analysen brukes, dekker havneanleggets aktiviteter og holdes oppdatert.

11 Trinnene Kartlegging Verdivurdering Fastsettelse av sikringsmål Trusselvurdering Konsekvens- og sårbarhetsvurdering Risikovurdering Grenser og tiltak

12 Hva skal sikres? Definisjon PFSP:.skal beskytte havneanlegget og fartøyene, personer, last, transportenheter og skipsforsyninger i havneanlegget mot risikoene ved en sikkerhetshendelse.

13 Trinn 1: Kartlegging «En tydelig identifikasjon av eiendom og infrastruktur [verdier] er avgjørende for evalueringen av havneanleggets sikkerhetsbehov, prioriteringen av forebyggende tiltak og avgjørelser om fordeling av ressurser for bedre å beskytte havneanlegget». ISPS B/15.8

14 Trinn 1: Kartlegging Et havneanlegg er Det området hvor det forekommer kontakt mellom skip og havn. Dette omfatter områder som ankerplasser, venteplasser og ankomst fra sjøsiden, når det er relevant. Videre defineres kontakt mellom skip og havn som: Den samhandlingen som oppstår når et skip direkte og umiddelbart påvirkes av handlinger som omfatter forflytning av personer eller varer eller ytelser av havnetjenester til eller fra skipet Operasjoner er alle aktiviteter utført i havneanlegget som har betydning for kontakt mellom skip og havn Eksempler: Stykkgods, container, bulk, passasjerer, ventekaier, spesialoperasjoner, verft Deloperasjoner: Mottak, lagring, lasting/lossing

15 Trinn 1: Kartlegging Operasjoner og verdier

16 Trinn 1: Kartlegging Operasjoner og verdier

17 Trinn 2: Verdivurdering «evalueringen av [verdier] skal brukes til å prioritere den relative betydningen av disse med tanke på beskyttelse. Hovedmålet skal være å unngå dødsfall eller skader. Det er også viktig å vurdere om havneanlegget, strukturen eller anlegget fortsatt kan fungere uten [verdien], og i hvilken grad det er mulig å gjenopprette normal drift raskt». ISPS B/15.6 Formålet med dette trinnet er todelt: vurdering av de strategiske verdiene for analysen. vurdering av operative og taktiske verdier i havneanlegget.

18 Trinn 2: Verdivurdering Verdinivå Beskrivelse Eksempel Strategiske verdier Angir regelverkets (og evt. virksomhetens) visjon, formål og hovedmål. Utgjør konsekvensområdene de taktiske og operasjonelle verdiene skal vurderes opp mot. Liv og helse, operativ evne, miljø, økonomi, omdømme, sensitiv informasjon Taktiske verdier Operasjonelle verdier Gjenspeiler mellomnivået og angir verdier knyttet til grupper, organisering, systemer, samspill og ledelse. Gjenspeiler det laveste nivået og angir den enkelte bestanddel i et system, kan være både materiell og immateriell. Personellgrupper, styringssystemer, informasjonssystemer, funksjoners integritet Vitale deler, nøkkelpersoner, infrastruktur, eiendeler.

19 Trinn 2: Verdivurdering Strategiske verdier 1. Liv og helse personer som oppholder seg i selve havneanlegget, som passasjerer, havnearbeidere, besetning på skip, besøkende og andre sikringshendelse i et havneanlegg kan også ramme befolkning i nærheten og det er viktig at analysen også ivaretar denne dimensjonen. Et havneanlegg kan brukes som et middel for å ramme folk i og nær tett befolkede områder. 2. Operativ evne Det er også viktig å vurdere om havneanlegget, strukturen eller anlegget fortsatt kan fungere uten eiendommen, og i hvilken grad det er mulig å gjenopprette normal drift raskt. 3. Miljø EU-dir 725/2004 fortale: Sikkerheten til skipsfarten i Det europeisk fellesskap, til de borgerne som bruker den, og til miljøet, må til enhver tid sikres mot trusler om forsettlig ulovlige handlinger, som terrorhandlinger, piratvirksomhet eller tilsvarende handlinger. 4. Andre verdier dersom havneanlegget ønsker det (omdømme, økonomi)

20 Trinn 3: Sikringsmål Formål med å fastsette sikringsmål er å beskrive regelverkets og virksomhetens ambisjonsnivå for sikring av havneanleggets verdier. Sikringsmål er viktig i forhold til dimensjonering av sikringstiltak. Tar utgangspunkt i ISPS-kodens funksjonskrav til bl.a. adgangskontroll, lastkontroll, overvåkning m.m. Analysen skal operasjonalisere funksjonskravene til ytelsesmål. Må ses i sammenheng med kartlagte verdier.

21 Trinn 3: Sikringsmål «Det skal anvendes sikkerhetstiltak og sikkerhetsprosedyrer ved havneanlegget som forårsaker minst mulig forstyrrelser eller forsinkelser for passasjerer, fartøyer, fartøyers besetning og besøkende, samt for varer og tjenester». ISPS A/14.1 Funksjonsområde Krav til sikring etter ISPS- koden Virksomhetens sikringsmål (ytelseskrav) Adgang Havneanlegget skal hindre ulovlig adgang til havneanlegg, adgangsbegrensede områder og skip (A/1.3.3). Alle som oppholder seg i havneanlegget skal ha blitt gitt lovlig adgang til havneanlegget og bære synlig ID. Uautorisert adgang skal oppdages innen x minutt. Havneanlegget skal ha en perimetersikring som hindrer ulovlig inntrenging av trusselaktør X Havneanlegget skal hindre innføring av ulovlige våpen, antennelige innretninger eller sprengstoff (A/1.3.3).

22 Trinn 4. Trusselvurdering

23 Trinn 4. Trusselvurdering På bakgrunn av innhentet informasjon skal mulige trusselaktører identifiseres. Hver trusselaktør vurderes i forhold til indikatorene tilstedeværelse, kapasitet, intensjon, historie og målvalg.

24 Trinn 5. Konsekvens- og sårbarhetsvurdering «Handlinger som kan true sikkerheten for [verdiene], og metoder for å gjennomføre disse handlingene skal identifiseres med sikte på å evaluere sårbarheten til en bestemt [verdi] eller et bestemt sted i forhold til en sikkerhetshendelse» ISPS B/15.9 Formålet med dette trinnet er å vurdere konsekvens og sårbarhet for havneanleggets identifiserte verdier. Utarbeide trusselscenarioer Trusselscenario skal si noe om hvilket utfall en tilsiktet uønsket handling vil få for havneanlegget.

25 Trinn 5. Konsekvens- og sårbarhetsvurdering Trusselscenarioene er svært sentrale for den videre analysen Konsekvens ved at verdier blir utsatt for et trusselscenario skal vurderes. Sårbarhet til verdier blir identifisert ved å vurdere hvilken forebyggende effekt sikringstiltak mot et trusselscenario

26 Trinn 6: Risikovurdering «Havneanleggets sårbarhetsvurdering er hovedsakelig en risikoanalyse av alle sider ved driften av et havneanlegg for å bestemme hvilken eller hvilke deler av anlegget som er mest utsatt og/eller har størst sannsynlighet for å bli angrepet. Sikkerhetsrisikoen avhenger av trusselen om et angrep kombinert med målets sårbarhet og følgene av et angrep [konsekvens/verdi]». ISPS B/1.17 Risiko identifiseres ved å sammenfatte: Trusselvurdering Verdi/konsekvens vurdering Sårbarhetsvurdering Vurdering av nye sikringstiltak og effekten av disse for å fastsette ny risiko

27 Trinn 6: Risikovurdering

28 Trinn 7: Grenser og tiltak «Identifiseringen og prioriteringen av mottiltak skal sørge for at de mest effektive sikkerhetstiltakene blir tatt i bruk for å redusere sårbarheten ved et havneanlegg eller kontakten mellom fartøy og havn overfor mulige trusler» ISPS B/15.13

29 Trinn 7: Grenser og tiltak Sikringstiltak Definisjon Eksempel Teknologiske Fysiske Elektroniske Logiske Fysiske, elektroniske eller logiske sikringstiltak. Fysiske barriere som hindrer eller forsinker uønsket adgang til verdier. Tiltak som bruker elektronisk utstyr og løsninger for å støtte, supplere eller erstatte fysiske sikringstiltak. Tiltak for sikring av informasjon som lagres eller overføres elektronisk. Gjerder, dører, låser, porter, utnyttelse av naturgitte forhold. Automatisk inbruddsalarmanlegg (AIA), automatisk adgangskontroll (AAK), TV overvåkning (TVO). IKT- programvare som brannmurer og antivirusprogrammer. Organisatoriske Menneskelige Tiltak i form av skriftlige eller muntlige beskrivelser, vurderinger og beslutninger som regulerer ledelse, organisering, prosesser, analyser, rutiner, adferd og/eller anvendelse av andre sikringstiltak. Sikringstiltak som utføres av personer, samt tiltak som påvirker persepsjon, vurderingsevne, kunnskap, adferd og reell evne til å bruke teknologiske sikringstiltak og følge Vi tar ansvar for organisatoriske sjøvegen sikringstiltak. Sårbarhetsvurdering (PFSA), sikringsplan, prosedyrer, instrukser, rutiner. Visitasjon, gjennomsøking, streifvakt, overvåkning. Opplæring og bevisstgjøring.

30 Havneanleggets rolle Havneanleggets eierskap til alle trinn er viktig: Trinn 1. Trinn 2. Trinn 3. Trinn 4. Trinn 5. Trinn 6. Trinn 7. Bidra med detaljkunnskap om havneanlegget og nærområdet. Bidra med kunnskap om verdienes betydning, konsekvensen av at de rammes og hvordan de prioriteres. Forankre ytelseskrav i organisasjonen. Bidra med kunnskap om eventuelle sikringshendelser, lokale trusler, verdier som ønskes å beskyttes mot eksterne (industrispionasje). Hvordan kan verdier i havneanlegget bli brukt i en uønsket handling. Konsekvens for verdier ved gjennomføring av trusselscenario. Kunnskap om- og effekt av sikringstiltak. Velge strategi og eventuelle nye sikringstiltak. Implementere sikringstiltak

31 Spørsmål?

32 God tur hjem