Krav til utførelse av Sikringsrisikovurdering 1. Hensikt Forebygging av viljeshandlinger mot jernbanen handler om å beskytte de fysiske objektene vi har ansvaret for, informasjonen og mennesker som reiser med tog eller oppholder seg i nærheten av jernbanen. Hensikten med sikringsrisikovurderinger er å avdekke svakheter som kan utnyttes av personer og organisasjoner med intensjon om å skade. Dimensjonering av tiltak baseres på sikringsanalysen. 2. Omfang Alle enheter og utbyggingsprosjekter er ansvarlige for å gjennomføre sikringsrisikovurderinger innen sitt ansvarsområde. Kravene gjelder ved bygging av ny og endringer av eksisterende infrastruktur, og for objekter/strekninger/funksjoner som vurderes nødvendig å beskytte. Utvalgskriterier for hvilke objekter som skal verdivurderes: Objektet/ funksjonen er av avgjørende betydning for Bane NORs evne til å gjennomføre sitt samfunnsoppdrag. Antall personer som transporteres eller oppholder seg ved objektet er høyt, slik at skadepotensialet er stort. Sikringsrisikovurderinger skal oppdateres dersom det er vesentlige endringer i trusselsituasjon eller risiko, dersom det er gjennomført endringer i system eller risikoreduserende tiltak, hvis forutsetninger er endret, eller ved vurdert behov. 3. Prinsipper for sirkingsrisikoreduksjon JBVs ambisjon anses å være å opprettholde trafikken, å ha åpne publikumsarealer og godsterminaler, og samtidig ha forebyggende tiltak som reduseres jernbanens attraktivitet for trusselaktører, forebyggende tiltak mot økt trussel, som gir risiko på nivå «lav» eller «ubetydelig» (hvis ikke rimelighetsvurdering i ALARP tilsier noe annet). 1. JBVs objekter verdivurderes oppmot samfunnsoppdraget, og de mest verdifulle objekt risikovurderes videre. 2. Risikovurdering skjer etter «trefaktor»-modellen, og risiko klassifiseres i fem kvalitative nivå. 3. Kvalitativt vurdert risikonivå avgjør om tiltak skal gjennomføres eller vurderes gjennomført etter ALARP-tilnærming. Dette betyr at for risikoer som er lav og ubetydelig, er risikoen akseptabel. For risiko som er middels og høy vurderes tiltak etter ALARP-prinsippet Hvis risiko vurderes å være «svært høy» løftes saken til toppleder og tiltak gjennomføres. 4. Tiltak vurderes mot trusselnivå for grunnsikring og vurderes mot plan for forhøyet trusselnivå, og da for hver fase i et hendelsesforløp. Forebyggende tiltak prioriteres. 4. Krav til utførelse Innledningsvis beskrives omfang av vurderingen med en beskrivelse av aktuelt system Side 1 av 5
(systemdefinisjon), avgrensinger og eventuelle forutsetninger. Trefaktormodellen brukes for å vurdere sikringsrisikoen, i tråd med NS 5832:2014 Samfunnssikkerhet Beskyttelse mot tilsiktede uønskede handlinger Krav til sikringsrisikoanalyse. Trefaktormodellen inkluderer verdi, trussel og sårbarhet. Risikonivå for sikring er basert på disse faktorene. I en verdivurderingen vurderer vi hvilke verdier vi prioriterer å beskytte. Dernest ser vi hvilke trusselaktører som kan ha motivasjon, evne og kapasitet til å ramme denne verdien. Ved å vurdere verdi og trusselaktør, kommer vi frem til verdiens sårbarhet overfor trusselaktøren. Sannsynligheten vil være implisitt uttrykt i trusselvurderingen og sårbarheten, men er ikke en eksplisitt parameter. 4.1. Verdivurdering Det mest grunnleggende i sikringsarbeidet er å identifisere de verdier man ønsker å beskytte. Disse verdiene kan være materielle, funksjonelle eller menneskelige. Evnen til å utføre Bane NORs samfunnsoppdrag anses som verdi i denne sammenheng. I Bane NOR vil typiske verdier være evnen til å styre trafikken, ressurser som personellet og tilgjengelige stasjonsområder. Verdiens viktighet for analyseobjektet har en femtrinns skala. Skjemaet «konsekvenseskala» (følg link), synliggjør dette, og skal anvendes som verdivurderingsverktøy under analysen. Hvis resultatet av verdivurderingen gir «lav» eller «ubetydelig» verdi, er det ikke nødvendig å fullføre en risikovurdering. 4.2. Sikringsmål Etter at man har definert verdiene som er kritiske for virksomheten må man bestemme hva man ønsker å oppnå med sikringstiltakene. Akseptabel tilstand for verdien under eller etter en hendelse må bestemmes. Overordnet sikringsmål er i ht sikkerhetspolitikken at man skal unngå tap av liv, miljø og materielle verdier. Videre er det et sikringsmål at vi skal kunne utføre samfunnsoppdraget vårt; dvs at stasjoner og transport er tilgjengelig. JBVs ambisjon anses å være å opprettholde trafikken, å ha åpne publikumsarealer og godsterminaler, og samtidig ha forebyggende tiltak som reduseres jernbanens attraktivitet for trusselaktører, forebyggende tiltak mot økt trussel, som gir risiko på nivå «lav» eller «ubetydelig» (hvis ikke rimelighetsvurdering i ALARP tilsier noe annet). Objekter og funksjoner skal kunne være tilgjengelig for de som trenger det, og skjermet i tråd med need-to-know prinsippet. Ved en konkret risikovurdering, fastsettes det konkret sikringsmål for aktuelt objekt/ funksjon. Side 2 av 5
4.3. Trusselvurdering En trussel er en aktør eller gruppe som vil påvirke ressursen på en negativ måte ved å gjennomføre handlinger som direkte eller indirekte har en negativ påvirkning på verdien. Dette omfatter handlinger som spenner fra tyverier til sabotasje og terrorhandlinger. I denne sammenheng er det viktig å vurdere trusselaktørens tilstedeværelse, kapasitet til- og intensjon om å gjennomføre en tilsiktet handling. Denne vurdering blir viktig når man skal bestemme hvilke tiltak som skal iverksettes for å avverge handlingen. Trusselvurderingen baseres på de årlige trusselvurderingene som utgis av PST, og eventuelt på erfarte hendelser. 4.4. Definere Scenarioer Valg Valg av relevante scenarier tar utgangspunkt i hvordan en trusselaktør vil forsøke å påvirke verdien (på hvilken måte). Scenariene velges med bakgrunn i verdiene og truslene som er identifisert. Scenarienes konsekvens må være basert på et realistisk forhold til aktørenes evne, vilje og kapasitet. Videre baseres scenarier på verdiens attraktivitet for trusselaktøren. Eksempler på scenarier er vinningskriminalitet, sabotasje, terror massedrapssituasjon, utro tjener og industrispionasje. Scenariene konkretiseres for det aktuelle objektet/ funksjonen som vurderes. De scenarier som er aktuelle for analyseobjektet beskrives i en farelogg, koblet mot verdien som trues. Videre skal konsekvens ved et vellykket, eller delvis vellykket, viljeshandling beskrives. Hensikten med fareloggen er å ha løpende oversikt over status på risiko gjennom en oppdatert oversikt over hvilke risikoreduserende tiltak som er implementert for ulike scenarier. Tiltakene som er anbefalt og gjennomført beskrives, herunder hvilke sikringskriteriet de svarer ut. Fareloggen dokumenterer hvordan beslutningen, forutsetninger og tiltak ivaretas ved å omfatte ansvar og tidsfrister for oppfølgingen av disse. Anbefalte tiltak som ikke gjennomføres, begrunnes. Fareloggen lukkes ikke, men gir i ettertid sporbarhet og oversikt, og er en kilde til erfaringsoverføring. Fareloggen unntas offentlighet i henhold til sikringsforskriftens 3-3. 4.5. Sårbarhet Gjennom scenarioene identifiserer man på hvilken måte trusselaktøren kan påvirke verdien. Sårbarheten handler om i hvilken grad aktøren vil bli hindret av eksisterende tiltak og barrierer. 4.6. Risikovurdering Risiko vurderes basert på verdivurderingen, trusselvurdering og sårbarhetsvurderingene. Risiko vurderes kvalitativt og kategoriseres i fem nivå: Svært høy, høy, middels, lav og ubetydelig. Risiko kategoriseres mot normalt trusselnivå. Der forhøyet trusselnivå kan bli relevant (en mulig endring i nær fremtid, f.eks i en kortere periode), bør flere ulike risikonivå vurderes. Side 3 av 5
4.7. Risikoaksept og tiltak De to laveste nivå (lav og ubetydelig) anses som akseptable uten ytterligere tiltak. For det høyeste nivået (svært høy) er risiko uakseptabel, og tiltak må gjennomføres. For nivåene høy og middels ALARP-vurderes tiltak. Dvs at kostnader for tiltak vurderes opp mot risikoreduksjon, personvern, tilgjengelighet, evne til effektivt å utføre vårt samfunnsoppdrag o.l. Tiltak velges for å redusere risiko i de ulike fasene i en viljeshandling, med følgende hensikter: 1. Avskrekke/hindre redusere sannsynligheten for et angrep ved å gjøre det mindre attraktivt. 2. Oppdage og verifisere bli klar over (og få bekreftet) en hendelse straks den initieres. 3. Avverge hindre en hendelse ved oppstart. 4. Reagere redusere skadeomfang/ konsekvenser. Permanente tiltak innføres for normalt trusselnivå, såkalt «grunnsikring». Videre innfører man planer for tiltak mot forhøyet trusselnivå, der aktuelt. 4.8. Rapport, distribusjon og arkivering Sikringsrisikovurderinger dokumenteres i rapport i henhold til mal for sikringsrisikovurdering slik den foreligger i styringsportalen. Denne unntas offentlighet i ht til sikringsforskriftens 3-3, 3-4. Sikringsrisikovurderingsrapporter skal kvalitetskontrolleres av en uavhengig, godkjent sidemannskontrollør, og godkjennes av oppdragsgiver (normalt linjeleder.) Liste over godkjente sidemannskontrollører er tilgjengelig på banenett Rapportene skal kun distribueres til de som trenger det, og arkivering skal være tilgangsstyrt i henhold til «krav til utførelse av arkivering og informasjonshåndtering av risiko og beredskapsanalyser», dvs tilgjengelig for de som trenger det, og skjermet i tråd med need-to-know prinsippet. Den som utarbeider sikringsrisikovurderinger skal oversende følgende informasjon om vurderinger til sentral sikkerhetsstab: Navn på analyse, Analyse id, Eier, objektet, avgrensninger, forutsetninger, datert, gyldighetstatus og beskyttelsesgrad. 5. Annen relevant informasjon for sikringsrisikovurderinger - Krav til utførelse av arkivering og informasjonshåndtering av risiko og beredskapsanalyser - Mal for sikringsrisikovurdering Fremgangsmåte for risikoreduksjon: 5. JBVs objekter verdivurderes, og de mest verdifulle objekt risikovurderes videre. 6. Risikovurdering skjer etter «trefaktor»-modellen, og risiko klassifiseres i fem kvalitative nivå. 7. Kvalitativt vurdert risikonivå avgjør om tiltak skal gjennomføres eller vurderes gjennomført etter ALARP-tilnærming. Dvs: For risikoer som er lav og ubetydelig, er risikoen akseptabel. For risiki som er middels og høy, vurderes tiltak etter ALARP-prinsippet Hvis risiko vurderes å være «svært høy», løftes saken til toppleder og tiltak gjennomføres. 8. Tiltak vurderes mot trusselnivå for grunnsikring og vurderes mot plan for forhøyet trusselnivå, og Side 4 av 5
da for hver fase i et hendelsesforløp. Forebyggende tiltak prioriteres. Side 5 av 5