ماده۷ـ تهیه و تدوین طرح های عملیاتی

در جهت مصون سازی، افزایش آمادگی، ارتقاء تاب آوری و اَمن سازی مراکز زیرساخت های با اهمّیت کشور، گام های اجرایی در تهیه و تدوین هریک از طرح های جامع عملیاتی پدافندی بشرح زیر می باشد:

۱) طرح پاسخ اضطراری به حوادث و تهدیدات زیرساختی

۱ـ تعیین سطح شرایط اضطراری/بحران متناسب با نوع تهدید/حادثه

۲ـ بررسی و برآورد سطح خسارت وارده (به مردم، نیروی انسانی، تجهیزات، تأسیسات و سایر)

۳ـ بکارگیری ظرفیت های پیش بینی شده برای مقابله با تهدید/حادثه (مدیریت شرایط اضطراری)

۴ـ سازماندهی و بکارگیری تیم های عملیاتی ارزیابی امنیتی، امن سازی اضطراری و پاسخ به رخدادهای سایبری

۵ ـ بازیابی اولیه و حفظ سطح خدمات متناسب با سطح بندی مرکز

۶ ـ مستندسازی و ارائه گزارش ها

۷ـ اجرای آموزش های دوره ای برای نیروی انسانی مرکز

۸ ـ طرح ریزی رزمایش پاسخ به شرایط اضطراری در مرکز

۹ـ به روز رسانی طرح

۲) طرح تضمین و تسهیل تداوم کارکردهای اساسی و بازیابی

۱ـ شناسایی مرکز زیرساختی و تعیین عملکردهای کلیدی آن

۲ـ تعیین سطح تهدیدات و آسیب پذیری ها

۳ـ برآورد سطح ریسک

۴ـ تنظیم برنامه تداوم کارکردهای اساسی متناسب با میزان تقاضا و نیازها ، ظرفیت و توان زیرساخت های جایگزین، امکان بازیابی، تعیین حداقل سطح کارکرد، راهکارهای کنترل کننده چالش ها، مدیریت وکاهش پیامدها و حداکثر مدت زمان اختلال زنجیره ناشی از حادثه/تهدید

۵ ـ تدوین ساختار، تعیین وظایف، پیش بینی و تأمین تجهیزات لازم

۶ ـ اجرای آموزش دوره ای طرح برای نیروی انسانی مرکز

۷ـ پیاده سازی و اجرای طرح

۸ ـ طرح ریزی رزمایش تداوم کارکرد و بازیابی در مرکز

۹ـ انجام فرآیند بازیابی زنجیره در حین حادثه/تهدید

۱۰ـ اجرای فرآیند بروزرسانی و اصلاح برنامه تداوم کارکرد و بازیابی پس از وقوع تهدید یا حادثه

۳) طرح ارتقاء تاب آوری

۱ـ شناسایی و ارزیابی تهدیدات و تعیین تهدید مبنا

۲ـ پیش بینی ظرفیت های لازم برای ایجاد و ارتقاء آمادگی در برابر تهدید/حادثه

۳ـ بررسی و ارزیابی میزان قابلیت جذب تنش ناشی از تهدید/حادثه (میزان مقاومت مرکز)

۴ـ بررسی و ارزیابی ظرفیت های بازیابی و بازتوانی مرکز

۵ ـ بررسی و ارزیابی میزان اثرپذیری عملکرد مرکز ناشی از تهدید/حادثه

۶ ـ بررسی و ارزیابی قابلیت های تطبیق پذیری وضع موجود با شرایط اولیه عملکردی مرکز

۷ـ ارائه راهکارهای لازم برای ارتقاء تاب آوری مرکز زیرساختی

۸ ـ به روز رسانی طرح

۴) طرح کاهش آسیب پذیری

۱ـ بررسی و تعیین نوع و سطح آسیب پذیری ها

۲ـ تعیین نوع تهدیدات مبتنی بر آسیب پذیری های موجود

۳ـ بررسی و تعیین اندرکنش تهدید و آسیب پذیری

۴ـ تجزیه و تحلیل آسیب پذیری

۵ ـ تعیین آسیب پذیری پایه (تعیین درجه آسیب محتمل)

۶ ـ تعیین آستانه آسیب پذیری قابل پذیرش

۷ـ تولید سناریو و برنامه ریزی کاهش تأثیرپذیری

۸ ـ نظارت و کنترل بر کاهش آسیب پذیری

۹ـ مستندسازی آسیب پذیری ها

۱۰ـ ارزیابی، بازخورد و به روز رسانی طرح

۵) طرح بهینه سازی وابستگی و وابستگی های متقابل

۱ـ بررسی ویژگی های وابستگی و تعیین نوع آن (درونی و بیرونی)

۲ـ دسته بندی وابستگی ها (فیزیکی، جغرافیایی، سایبری و منطقی)

۳ـ تعیین و بررسی درجه وابستگی دارایی ها و تاثیر آن بر عملکرد مرکز

۴ـ بررسی پیامدهای ناشی از وابستگی و تعیین نوع تخریب

۵ ـ ارائه راهکار بهینه سازی وابستگی مبتنی بر نوع ارتباطات (درونی و بیرونی)

۶ ـ به روز رسانی طرح

۶) طرح ارزیابی و ارتقاء آمادگی های زیرساختی

۱ـ تهیه و تصویب طرح رزمایش

۲ـ سازماندهی ساختارها، ظرفیت ها، نیروی انسانی و تقسیم کار لازم برابر طرح مصوب شده

۳ـ تأمین تجهیزات طرح رزمایش

۴ـ آموزش عمومی و تخصصی نیروهای رزمایش

۵ ـ تمرین و مهارت افزایی

۶ ـ اجرای رزمایش

۷ـ ارزیابی، بازخورد و اصلاح طرح

۷) طرح حفاظت از مردم و نیروی انسانی در مراکز زیرساختی

الف ـ حفاظت از مردم

۱ـ تعیین محدوده ایمنی برای استقرار مراکز سکونتگاهی در اطراف مراکز

۲ـ اعلام فوری و هشدار وضعیت اضطراری به مراجع ذیربط پس از وقوع حادثه/تهدید

۳ـ حفظ حداکثری آرامش و ایجاد امنیت با به کارگیری ظرفیّت های انتظامی در زمان وقوع تهدید/حادثه

۴ـ آموزش عمومی به مردم برای پیشگیری از شدت حادثه/تهدید با همکاری دستگاه های ذیربط

۵ ـ برگزاری رزمایش های سالانه

۶ ـ ارزیابی اثربخشی اقدامات حفاظت از مردم و به روزرسانی طرح

تبصره ـ تمام مراکز زیرساختی موظفند مبتنی بر شدّت و سطح پیامدهای احتمالی ناشی از وقوع تهدید یا حادثه در آنها، حریم ایمنی، امنیتی و حفاظتی برای استقرار مراکز سکونتگاهی در مجاورت خود را مشخص و پس از تأیید سازمان به ذی نفعان اطلاع رسانی نمایند.

ب ـ حفاظت از نیروی انسانی در مرکز

۱ ـ شناسایی و ارزیابی نیروی انسانی موجود (کارکنان، مراجعین، پیمانکاران) در مرکز

۲ـ شناسایی ریسک متوجه نیروی انسانی متناسب با نوع شغل و محل فعّالیت آنها

۳ـ پیش بینی و طراحی ظرفیت های لازم در مرکز جهت حفاظت از نیروی انسانی (نقاط امن، پناهگاه، اسکان اضطراری و مانند آن) متناسب با جانمایی تأسیسات و تجهیزات پرخطر در سایت مرکز

۴ـ پیش بینی و تأمین امکانات و تجهیزات حفاظت از نیروی انسانی در شرایط تهدید/حادثه

۵ ـ پیش بینی تضمین جبران خسارت (بیمه عمر، بیمه حوادث، بیمه مسئولیت و سایر) در صورت وقوع حادثه/تهدید

۶ ـ آموزش و تمرین طرح تهیه شده و برگزاری رزمایش های سالانه

۷ـ ارزیابی اثربخشی اقدامات حفاظت از نیروی انسانی و به روزرسانی طرح

۸) طـرح حفاظت فیزیکی مراکز زیرساختی

۱ـ شناسایی دارایی های مرکز

۲ـ ارزیابی و درجه بندی دارایی ها

۳ـ تعیین نقاط کلیدی و گره های اصلی در فرآیند و تعیین جذابیت هدف

۴ـ حیطه بندی امنیتی و تعیین محدوده های مجاز دسترسی متناسب با درجه اهمیت دارایی ها

۵ ـ پیش بینی و بکارگیری تجهیزات و سامانه های حفاظت فیزیکی متناسب با ارزش دارایی با لایه های انسانی، مهندسی، مکانیکی و سایبری هوشمند

۶ ـ ارزیابی اثربخشی اقدامات حفاظتی و به روزرسانی طرح

تذکر۱ـ در تهیه طرح های عملیاتی مراکز زیرساختی رعایت الزامات عمومی مندرج در دستورالعمل شماره ۰۱۰۲ـ ث مهرماه ۱۴۰۲ سازمان، مورد تاکید است.

تذکر۲ـ دستگاه های اجرایی در تهیه طرح های عملیاتی، رؤس گام های فوق را مدنظر قرار داده و متناسب با مأموریت هریک از مراکز زیرساختی، درصورت لزوم، آنها را تکمیل کنند.

تذکر۳ـ دستگاه های متولی راهبری مراکز حیاتی و حساس موظفند طرح های عملیاتی مراکز خود را هر ۴ سال یکبار مبتنی بر روند تهدیدات آتی با هماهنگی سازمان به روز رسانی کنند.

ماده۸ ـ تهیه و تدوین طرح های جامع حفاظت از زیرساخت

الف ـ طرح جامع موضوعی [۳۶]

به منظور دستیابی به پایداری و تاب آوری ملّی و همچنین خدمات رسانی بی وقفه به مردم، ضرورت دارد در سطح راهبردی طرح های جامع موضوعی در حوزه های با اهمّیت کشور از منظر پدافند غیرعامل مورد توجّه و مطالعه قرار گیرند؛ گام های اجرایی در تهیه و تدوین این طرح ها بشرح زیر است:

۱) شناخت و ارزیابی

۱ـ شناخت کلی از موضوع و دامنه تأثیر آن

۲ـ شناخت مأموریت، سیاست ها، الزامات و ملاحظات پدافند غیرعامل در موضوع موردنظر

۳ـ گردآوری و بررسی اسناد (سیاست های کلان، برنامه های توسعه ای، اسناد راهبردی داخلی و خارجی، سند چشم انداز، معاهدات و قوانین بین المللی و سایر) فرادستی و فرودستی مرتبط با موضوع

۴ بررسی مطالعات موجود مرتبط (داخلی و خارجی)

۵ ـ مطالعات تکمیلی با هدف تبیین اهداف و انتظارات پدافند غیرعامل در موضوع موردنظر

تذکر ـ قبل از ورود به مرحله بعد لازم است مشاور نتیجه مرحله شناخت و ارزیابی را ارائه و نظر سازمان را دریافت کند.

۲) محیط شناسی

۱ـ شناخت و ارزیابی تهدیدات و آسیب پذیری های ملّی (در موضوع مورد نظر)

۲ـ بررسی چالش های اساسی کشور (در موضوع مورد نظر)

۳ـ بررسی پیشران های اساسی کشور (در موضوع مورد نظر)

۳) تدوین راهبردها

۱ـ ارائه اهداف کلان و چشم انداز ملی (در موضوع مورد نظر)

۲ـ ارائه سیاست ها، راهبردها و برنامه های کلان موضوعی

۳ـ ارائه نقشه راه پدافند غیرعامل (در موضوع مورد نظر)

۴ـ الزامات تحقّق و زمان بندی دستیابی به اهداف

ب ـ طرح جامع بخشی

طرح های جامع بخشی یکی از انواع طرح های موضوعی حفاظت از زیرساخت است که در سطح عملیاتی متناسب با مأموریت دستگاه های اجرایی کشور ذیل هر یک از حوزه های با اهمّیت تهیه می شوند؛ گام های اجرایی در تهیه و تدوین این طرح ها بشرح زیر می باشد:

۱) محیط شناسی

۱ـ بررسی گروداران و ذینفعان بخش (در ارتباط با سایر بخش های وابسته به آن)

۲ـ شناخت مراکز و دارائی های با اهمیت بخش (دسته بندی و سطح بندی)

۳ـ شناخت و ارزیابی تهدیدات مؤثر بر عملکرد بخش (دسته بندی و تعیین تهدید مبنا)

۴ـ شناخت و ارزیابی آسیب پذیری های بخش(ذاتی، سیستمی و سایر) و تعیین میزان وابستگی و اندرکنش با سایر بخش ها

۵ ـ شناخت، دسته بندی و ارزیابی پیامدها (پیامدهای احتمالی اختلال در عملکرد بخش)

۶ ـ بررسی و شناسایی ریسک های بخشی

۷ـ مدیریت ریسک و راهکارهای آن

۲) تدوین راهبردهای بخشی

۱ـ ارائه اهداف کلان و چشم انداز حاکم بر بخش

۲ ـ ارائه سیاست ها، راهبردها و برنامه های کلان بخشی در راستای برنامه توسعه کشور

۳ـ بررسی و ارزیابی اثربخشی اقدامات

۳) ارائه الگوی بومی پدافند غیرعامل بخش

۱ـ ارائه طرح های عملیاتی مرتبط با بخش

۲ـ اولویت های تحقیق و توسعه بخشی

تذکر۱ـ دستگاه های اجرایی در تهیه طرح های جامع موضوعی و بخشی، رؤس گام های فوق را مدنظر قرار داده و درصورت لزوم، آنها را تکمیل کنند.

تذکر۲ـ طرح های جامع موضوعی و بخشی متناسب با برنامه های پنج ساله توسعه کشور، هر ۵ سال یکبار مبتنی بر روند تهدیدات آتی با هماهنگی سازمان به روز رسانی می شوند.

ماده۹ـ الزامات فنّی

به منظور اثربخشی اقدامات، مشارکت ذینفعان و هم افزایی بخش های فنّی در تهیه طرح های حفاظت از زیرساخت و ارتقاء سطح کیفی خدمات پدافند غیرعامل و همچنین تدوین معیارها و شاخص های ارزیابی فنّی برای طرح های زیرساختی در کشور، دستگاه های متولّی مراکز زیرساختی با اهمّیت موظّفند الزامات فنّی زیر را در مراحل طراحی، اجرا و بهره برداری از دارایی های مراکز خود پیاده سازی و اجرا نمایند.

۱)درجه بندی دارایی

برای درجه بندی دارایی های مراکز زیرساختی ضرورت دارد متناسب با ویژگی های خاص هر مرکز و اهمّیت آن، مؤلفه های ماهیّت، هوشمندی، کارکرد، وابستگی، سیستمی یا غیرسیستمی بودن و خطرزایی نیز مدنظر قرار گیرند. برای درک بهتر از مفهوم درجه بندی دارایی برای هریک از مراکز زیرساختی، راهنمای درجه بندی دارایی ها توسط سازمان تهیه و ابلاغ می گردد.

۲) وابستگی متقابل

الزام۱ـ مراکز زیرساختی حیاتی با سطح بدون پیامد سیستمی از وابستگی متقابل و تأکید بر حذف حداکثری درجه بیشینه منحصربفرد (حذف حداکثری قطب منحصربفرد) حذف هرگونه وابستگی براساس مرکزیت مسیرهای مستقیم و افزایش ۸۵ درصدی به بالای سطح خوشه بندی در دارایی های اصلی (درجه ۱ و ۲) طراحی و اجرا شود.

الزام۲ـ مراکز زیرساختی حساس با سطح بسیار محدود پیامد سیستمی از وابستگی متقابل و تأکید بر حذف حداکثری درجه بیشینه منحصربفرد (حذف حداکثری قطب منحصربفرد) حذف حداکثری وابستگی براساس مرکزیت مسیـرهای مستقیم و افزایش ۶۰ درصدی به بالای سطح خوشه بنـدی در دارایی های اصلی، طراحی و اجرا گردد.

الزام۳ـ مراکز زیرساختی مهم با سطح بهینه پیامد سیستمی از وابستگی متقابل و تأکید بر حذف بهینه درجه بیشینه منحصر بفرد (حذف بهینه قطب منحصربفرد)، حذف بهینه وابستگی براساس مرکزیت مسیرهای مستقیم و افزایش ۴۵ درصدی به بالای سطح خوشه بندی در دارایی های اصلی، طراحی و اجرا گردد.

الزام۴ـ مراکز زیرساختی قابل حفاظت می بایست با سطح قابل قبول پیامد سیستمی از وابستگی متقابل و تأکید بر حذف حداقلی درجه بیشینه منحصربفرد (حذف حداقلی قطب منحصربفرد) نگهداشت قابل قبول وابستگی براساس مرکزیت مسیرهای مستقیم و نگهداشت حداقل۲۰ درصدی سطح خوشه بندی در دارایی های اصلی، طراحی و اجرا گردد.

۳) سیستمی و شبکه ای

روابط سیستمی و شبکه ای در مراکز زیرساختی متناسب با سطح اهمّیت آنها باید به نحوی طراحی گردد که:

الزام۱ـ مراکز زیرساختی حیاتی از درجه وابستگی حداقلی با نوع ارتباط سیستمی درهم تنیده کامل و قابلیت مورد انتظار کارکرد در ارائه خدمات کلیدی به صورت پایدار و مستمر برخوردار باشند.

الزام۲ـ مراکز زیرساختی حساس از درجه وابستگی حداقلی با نوع ارتباط سیستمی درهم تنیده کامل و قابلیت مورد انتظار کارکرد در ارائه خدمات کلیدی برخوردار باشند.

الزام۳ـ مراکز زیرساختی مهم از درجه وابستگی قابل قبول با نوع ارتباط سیستمی درهم تنیده بخشی و قابلیت مورد انتظار کارکرد در ارائه خدمات ضروری برخوردار باشند.

الزام۴ـ مراکز زیرساختی قابل حفاظت از درجه وابستگی قابل قبول با نوع ارتباط سیستمی درهم تنیده بخشی و قابلیت مورد انتظار کارکرد در ارائه خدمات لازم برخوردار باشند.

* درجه وابستگی بصورت بهینه شده و مبتنی بر طیف لیکرت تعریف گردد.

۴) سایبری

به کارگیری الزامات سایبری در مراکز زیرساختی متناسب با سطح اهمّیت آنها باید به نحوی باشد که:

الزام۱ـ مراکز زیرساختی حیاتی بصورت آسیب ناپذیر سایبری با معماری شبکه مبتنی بر متدولوژی دفاع در عمق، دفاع لایه به لایه، اصل اعتماد صفر، هوشمندسازی بسیار محدود، بومی و امن (حتی المقدور بدون هوشمند سازی)، با کارکرد سلولی مستقل از ساختار هوشمند و بصورت موازی با اولویت فرمان دستی با هدف ارائه خدمات کلیدی طراحی و اجرا گردند.

الزام۲ـ مراکز زیرساختی حساس برخوردار از ذات سایبری مستحکم با معماری شبکه مبتنی بر متدولوژی دفاع در عمق، دفاع لایه به لایه، اصل اعتماد صفر، هوشمندسازی بومی و امن با کارکرد سلولی مستقل از ساختار هوشمند و بصورت موازی با اولویت فرمان دستی با هدف ارائه خدمات کلیدی طراحی و اجرا گردند.

الزام۳ـ مراکز زیرساختی مهم با حداقل آسیب پذیری سایبری ممکن و معماری شبکه مبتنی بر متدولوژی دفاع در عمق، دفاع لایه به لایه، اصل اعتماد صفر، هوشمندسازی آزموده شده و بصورت موازی با اولویت فرمان دستی با هدف ارائه خدمات ضروری طراحی و اجرا گردند.

الزام۴ـ مراکز زیرساختی قابل حفاظت با حداقل آسیب پذیری قابل قبول سایبری و معماری شبکه مبتنی بر متدولوژی دفاع در عمق، دفاع لایه به لایه، هوشمندسازی ایمن و بصورت موازی با اولویت فرمان دستی با هدف ارائه خدمات لازم طراحی و اجرا گردند.

۵) مدیریت مخاطرات

الف) در مرحله طراحی

در این مرحله، مدیریت مخاطرات در مراکز زیرساختی دارای پتانسیل خطر با پیامد گسترده[۳۷] الزامات زیر پیاده سازی می شود:

الزام۱ـ مراکز زیرساختی حیاتی برای بدترین سناریو در جهت دستیابی به سطح ایمنی حداکثری با رویکرد حذف/کنترل کامل عامل خطر در تمامی اجزای پرخطر، سطح حفاظتی و امنیتی حداکثری و عدم پذیرش هرگونه ریسک طراحی گردند.

الزام۲ـ مراکز زیرساختی حساس برای بدترین سناریو در جهت دستیابی به سطح ایمنی حداکثری با رویکرد حذف/کنترل کامل عامل خطر در تمامی اجزای پرخطر، سطح حفاظتی و امنیتی حداکثری و قبول ریسک حداقلی طراحی گردند.

الزام۳ـ مراکز زیرساختی مهم برای محتمل ترین سناریو در جهت دستیابی به سطح ایمنی حداقلی با رویکرد حذف/کنترل نسبی عامل خطر در اجزای با پتانسیل خطر بالا، سطح حفاظتی و امنیتی حداقلی و قبول ریسک نسبی طراحی گردند.

الزام۴ـ مراکز زیرساختی قابل حفاظت برای محتمل ترین سناریو در جهت دستیابی به سطح ایمنی حداقلی با رویکرد حذف/کنترل بهینه عامل خطر در اجزای با پتانسیل خطر بالا، سطح حفاظتی و امنیتی حداقلی و قبول ریسک بهینه طراحی گردند.

* سطح پذیرش تعریف شده برای ریسک مبتنی بر طیف لیکرت تعریف گردد.

ب) در مرحله بهره برداری (عملیات)

در این مرحله، اقدامات مرتبط با مدیریت مخاطرات در زیرساخت های دارای پتانسیل خطر با در رعایت الزامات زیر پیاده سازی می شود:

الزام۱ـ مراکز زیرساختی حیاتی با ایجاد و پیاده سازی ساختار فرماندهی حادثه و اجرای کامل طرح مدیریت ایمنی فرآیند، بدون قبول ریسک از قابلیت پاسخ سریع و فوری به شرایط اضطراری برخوردار باشند.

الزام۲ـ مراکز زیرساختی حساس با ایجاد و پیاده سازی ساختار فرماندهی حادثه و اجرای کامل طرح مدیریت ایمنی فرآیند، با قبول ریسک حداقلی از قابلیت پاسخ سریع و فوری به شرایط اضطراری برخوردار باشند.

الزام۳ـ مراکز زیرساختی مهم با راه اندازی مرکز کنترل شرایط اضطراری و اجرای طرح مدیریت ایمنی فرآیند در بخش های دارای پتانسیل خطر، با قبول ریسک نسبی از قابلیت پاسخ نسبی به شرایط اضطراری برخوردار باشند.

الزام۴ـ مراکز زیرساختی قابل حفاظت با راه اندازی مرکز کنترل شرایط اضطراری و اجرای طرح مدیریت ایمنی فرآیند در بخش های دارای پتانسیل خطر، با قبول ریسک بهینه از قابلیت پاسخ بهینه به شرایط اضطراری برخوردار باشند.

* سطح پذیرش تعریف شده برای ریسک مبتنی بر طیف لیکرت تعریف گردد.

۶) رصد و پایش تهدیدات و آسیب پذیری

رصد و پایش تهدیدات و آسیب پذیری در مراکز زیرساختی متناسب با سطح اهمّیت آنها باید به نحوی باشد که:

الزام۱ـ در مراکز زیرساختی حیاتی، تهدیدات اثرگذار مستقیم هر سه ماه یکبار و تهدیدات با حیطه اثر غیرمستقیم نیز هر شش ماه یکبار احصاء و پایش گردد. این مراکز باید بصورت کامل به سامانه های رصد و پایش برخط متصل باشند. آسیب پذیری ها نیز هر سه ماه یکبار پایش و براساس نوع، اندازه، احتمال وقوع و پیامد، ارزیابی، درجه بندی و اندازه گیری شوند.

الزام۲ـ در مراکز زیرساختی حساس، تهدیدات اثرگذار مستقیم بصورت شش ماه یکبار و تهدیدات با حیطه اثر غیرمستقیم نیز هر سال یکبار احصاء و پایش گردد. این مراکز باید بصورت بهینه به سامانه های رصد و پایش برخط متصل باشند. آسیب پذیری ها نیز هر شش ماه یکبار پایش و براساس نوع، اندازه، احتمال وقوع و پیامد، ارزیابی، درجه بندی و اندازه گیری شوند.

الزام۳ـ در مراکز زیرساختی مهم، تهدیدات اثرگذار مستقیم و غیرمستقیم هر سال یکبار احصاء و پایش گردد. این مراکز باید بصورت بهینه در خدمات ضروری به سامانه های رصد و پایش برخط متصل باشند. آسیب پذیری ها نیز هر سال یکبار پایش و براساس نوع، اندازه، احتمال وقوع و پیامد، ارزیابی، درجه بندی و اندازه گیری شوند.

الزام۴ـ در مراکز زیرساختی قابل حفاظت، تهدیدات اثرگذار مستقیم بصورت سالی یکبار و تهدیدات با حیطه اثر غیرمستقیم نیز هر دو سال یکبار احصاء و پایش گردد. این مراکز باید بصورت حداقلی در خدمات ضروری به سامانه های رصد و پایش برخط متصل باشند. آسیب پذیری ها نیز هرسال یکبار پایش و براساس نوع، اندازه، احتمال وقوع و پیامد، ارزیابی، درجه بندی و اندازه گیری شوند .

۷) تهدیدات درون زا

شرایط مواجهه با تهدیدات درون زا در مراکز زیرساختی متناسب با سطح اهمیت آنها باید به نحوی باشد که:

الزام۱ـ در مراکز زیرساختی حیاتی، سطح صیانت در برابر عامل تهدید درون زا با سطح اعتماد صفر، دانش کاملاً محدود شده و دسترسی بسته، میزان در معرض عامل تهدید بودن به صورت حذف کامل جذابیت، سطح قابل قبول پیامد اعمال تهدید به صورت بدون اختلال و سازوکار محافظتی به صورت کاملا آزموده شده با لایه بندی کامل حفاظتی می باشد.

الزام۲ـ در مراکز زیرساختی حساس، سطح صیانت در برابر عامل تهدید درون زا با سطح اعتماد صفر، دانش محدود شده و دسترسی کنترل شده، میزان در معرض عامل تهدید بودن به صورت حذف جذابیت بدون تأثیر در عملکرد، سطح قابل قبول پیامد اعمال تهدید به صورت بدون اختلال و سازوکار محافظتی به صورت آزموده شده بر پایه اولویت بندی با لایه بندی کامل حفاظتی می باشد.

الزام۳ـ در مراکز زیرساختی مهم، سطح صیانت در برابر عامل تهدید درون زا با سطح اعتماد، دانش و دسترسی کنترل شده، میزان در معرض عامل تهدید بودن به صورت حذف جذابیت با درنظر گرفتن سطح عملکرد، سطح قابل قبول پیامد اعمال تهدید به صورت اختلال در حد قابل تعمیر و بازیابی و سازوکار محافظتی مبتنی بر الگوی تأمین می باشد.

الزام۴ـ در مراکز زیرساختی قابل حفاظت، سطح صیانت در برابر عامل تهدید درون زا با سطح اعتماد، دانش و دسترسی کنترل شده، میزان در معرض عامل تهدید بودن به صورت بهینه سازی جذابیت، سطح قابل قبول پیامد اعمال تهدید به صورت اختلال در حد قابل تعمیر و بازیابی و سازوکار محافظتی مبتنی بر الگوی تأمین می باشد.

۸) ارتقای آمادگی

براساس سطح بندی مراکز و سطح پیامد متصور به ازای تهدیدات مرتبط، سطح و میزان آمادگی زیرساختی در آنها به شرح ذیل می باشد:

الزام۱ـ مراکز زیرساختی حیاتی از سطح آمادگی کامل با قابلیت پاسخ سریع و فوری به حادثه/تهدید و آمادگی دائمی ۷*۲۴ فعّالیت های اصلی در ارائه خدمات زیرساختی برخوردار باشند.

الزام۲ـ مراکز زیرساختی حساس از سطح آمادگی کامل با قابلیت پاسخ سریع و فوری به حادثه/تهدید و آمادگی دائمی ۷*۲۴ فعّالیت های اصلی در ارائه خدمات زیرساختی برخوردار باشند.

الزام۳ـ مراکز زیرساختی مهم از سطح آمادگی هوشیارانه با قابلیت آمادگی برای پاسخ حادثه/تهدید و آمادگی نوبه ای ۷*۱۶ فعّالیت های اصلی در ارائه خدمات زیرساختی برخوردار باشند.

الزام۴ـ مراکز زیرساختی قابل حفاظت از سطح و قابلیت آمادگی عمومی برای پاسخ حادثه/تهدید و آمادگی نوبه ای ۷*۱۶ فعّالیت های اصلی در ارائه خدمات زیرساختی برخوردار باشند.

توضیح ـ منظور از آمادگی دائمی۷*۲۴ آمادگی برای ارائه خدمات زیرساختی در طول هفته و بصورت ۲۴ ساعته می باشد و منظور از آمادگی نوبه ای۷*۱۶ آمادگی برای ارائه خدمات زیرساختی در طول ایام هفته و بصورت ۱۶ ساعته می باشد.

۹ ) تداوم کارکرد

متناسب با سطح اهمیت مراکز زیرساختی ضروریست میزان تداوم کارکرد و پایداری خدمات در آنها به شرح ذیل تأمین و تضمین گردد:

توضیح ـ منظور از تداوم کارکرد برای ارائه خدمات، حفظ عملکرد مرکز در حین بروز تهدید/حادثه می باشد.

۱۰) تاب آوری

سطح تاب آوری در مراکز زیرساختی متناسب با ظرفیت مورد انتظار در هریک از آنها باید به نحوی باشد که:

الزام۱ـ در مراکز زیرساختی حیاتی با تأکید بر ظرفیت جذب حداکثری تنش، ظرفیت تطبیق پذیری و جایگزینی کامل، عدم اثرپذیری کلیه خدمات مرکز و برگشت پذیری اضطراری، سطح تاب آوری درجه ۱ تأمین گردد.

الزام۲ـ در مراکز زیرساختی حساس با تأکید بر ظرفیت جذب متعادل تنش، ظرفیت تطبیق پذیری و جایگزینی بالا، عدم اثرپذیری کلیه خدمات مرکز و برگشت پذیری اضطراری، سطح تاب آوری درجه ۲ تأمین گردد.

الزام۳ـ در مراکز زیرساختی مهم با تأکید بر ظرفیت جذب محدود تنش، ظرفیت تطبیق پذیری و جایگزینی بهینه، عدم اثرپذیری و ظرفیت برگشت پذیری با هدف برگشت سریع خدمات ضروری مرکز، سطح تاب آوری درجه ۳ تأمین گردد.

الزام۴ـ در مراکز زیرساختی قابل حفاظت با تأکید بر ظرفیت جذب حداقلی تنش، ظرفیت تطبیق پذیری و جایگزینی محدود، ظرفیت برگشت پذیری با هدف برگشت سریع خدمات ضروری مرکز، سطح تاب آوری درجه ۴ تأمین گردد.

۱۱) مصونیت

سطح مورد انتظار از مصون سازی در مراکز زیرساختی پس از پیاده سازی الزامات فوق باید به نحوی باشد که:

الزام۱ـ مراکز زیرساختی حیاتی با تأکید بر تاب آوری، آسیب ناپذیری و تداوم کارکرد در ارائه خدمات کلیدی به سطح ۱۰۰ درصدی از مصونیت برسند.

الزام۲ـ مراکز زیرساختی حساس با تأکید بر استحکام، حداقل آسیب پذیری ممکن و تداوم کارکرد در ارائه خدمات کلیدی به سطح ۷۰ درصدی از مصونیت برسند.

الزام۳ـ مراکز زیرساختی مهم با تأکید بر امنیت، حداقل آسیب پذیری قابل قبول و تداوم کارکرد در ارائه خدمات ضروری به سطح ۵۰ درصدی از مصونیت برسند.

الزام۴ـ مراکز زیرساختی قابل حفاظت با تأکید بر ایمنی، حداقل آسیب پذیری قابل قبول و تداوم کارکرد در ارائه خدمات لازم به سطح ۳۰ درصدی از مصونیت برسند.

تذکر ـ تعیین میزان بهینه پیاده سازی الزاماتی که در کلیه جداول فوق بعنوان هدف و معیار تعیین شده است با رعایت ملاحظات مهندسی ارزش به دست می آید. اگر مبتنی بر شاخص های مهندسی ارزش (هزینه ـ فایده) و سطح تهدید اجرای این الزامات میسر نشود، ضرورت دارد طرح توجیهی میزان دقیق رعایت الزامات در مراکز زیرساختی توسط مشاور طرح تهیه و به تایید سازمان برسد.

ماده۱۰ ـ اقدامات مشترک

دستگاه های اجرایی دارای مراکز زیرساختی با اهمّیت در کشور موظّفند:

۱) شورای داخلی حفاظت از زیرساخت را با مسئولیت رئیس کمیته پدافند غیرعامل دستگاه با مشارکت واحدهای حراست و بسیج دستگاه تشکیل داده و گزارش های مربوطه را به دبیرخانه شورای هماهنگی حفاظت از زیرساخت مستقر در معاونت طرح ریزی و نظارت فنی سازمان ارسال نمایند .

۲ ) متناسب با درجه اهمّیت مراکز زیرساختی خود و سطح ریسک آن، علاوه بر اولویت بندی اقدامات مصون سازی مبتنی بر الزامات این نظام، برنامه های حفاظت از زیرساخت مستخرجه از آن را نیز به صورت سالانه و بلندمدت تهیه و به سازمان ارائه نماید.

۳ ) به منظور حصول اطمینان از اثربخشی اقدامات حفاظت از زیرساخت، با سازماندهی تیم های عملیاتی در قالب ممیزی های داخلی، نظارت لازم را بر پیاده سازی و اجرای الزامات این نظام، اعمال نمایند.

۴) دستورالعمل های اجرایی موردنیاز حوزه خود را در چارچوب این سند و در قالب برنامه بخشی حفاظت از زیرساخت دستگاه تهیه و پس از تصویب سازمان، اجرا نمایند.

۵) درصورت وقوع تهدید یا حادثه با هماهنگی مرکز مدیریت و هماهنگی عملیاتی زیرساخت، در قالب اطلاع رسانی، اعلام وضعیت، اجرای فرمان و انجام هماهنگی نسبت به مدیریت صحنه بحران ها اقدام نمایند.

۶ ) درس آموخته های مربوط به حوادث و تهدیدات زیرساختی حوزه خود را مستندسازی و به مرکز مدیریت و هماهنگی عملیاتی زیرساخت گزارش نمایند تا در انتقال به سایر دستگاه ها و به روزرسانی دستورالعمل ها و الزامات مورد استفاده قرار گیرد.

۷ ) تجارب حاصل از تهدیدات زیرساختی در سایر دستگاه های اجرایی و زیرساخت های اصلی را دریافت و نسبت به برگزاری جلسات آموزشی و توجیهی، در دستگاه خود اقدام نمایند .

۸) کمیته تدوین و تنظیم مقررات حفاظت از زیرساخت را با مسئولیت معاون فنی یا مدیرکل پدافند غیرعامل دستگاه تشکیل داده و موضوعات فنی موردنیاز دستگاه که قابلیت تبدیل شدن به مقرّرات و ضوابط فنّی حفاظت از زیرساخت دارند را جهت بررسی به مرکز تدوین و تنظیم مقرّرات حفاظت از زیرساخت ارائه کنند.

۹ ) برابر نظام آمادگی و رزمایش دستگاه های اجرایی در برابر تهدیدات، مصوبه شماره ۲۰۸۸ کمیته دائمی و باهماهنگی سازمان نسبت به برگزاری رزمایش های تخصصی حفاظت از زیرساخت در ابعاد مأموریتی خود اقدام نمایند.

۱۰) چنانچه استاندارد پدافند غیرعامل در هریک از موضوعات اصلی حفاظت از زیرساخت تولید گردید نسبت به اجرا و رعایت آن در هریک از مراکز زیرساختی خود اقدام کنند.

۱۱) به صورت فصلی و نوبه ای اقدامات انجام شده در قالب این نظام را به سازمان گزارش کنند.

۱۲) نسبت به آموزش، توجیه و توانمندسازی مدیران، کارشناسان و کارکنان زیرمجموعه خود اقدام نمایند.

ماده۱۱ـ با توجه به تغییرات عناصر محیطی مانند تهدیدات، فناوری های بکارگیری شده در زیرساخت ها و سایر ملاحظات فنی و مهندسی، برای اجرای بهتر و روزآمدسازی الزامات فنّی تخصصی حفاظت از زیرساخت ، دستگاه های اجرایی می توانند نقطه نظرات پیشنهادی و اصلاحی خود را پیرامون این نظام به سازمان اعلام نمایند؛ سازمان با بررسی نظرات دستگاه های اجرایی، درصورت نیاز و بعد از ۶ماه، نظام را بازنگری و اصلاح می کند.

ماده۱۲ـ وفق تبصره۱ قانون تشکیل سازمان، مستنکفین از اجرای الزامات و ضوابط این سند در مراکز و دستگاه های اجرایی مشمول، علاوه بر جبران خسارات وارد شده، به مجازات موضوع ماده (۵۷۶) کتاب پنجم قانون مجازات اسلامی (تعزیرات و مجازات های بازدارنده) مصوب ۱۳۷۵/۳/۰۲ محکوم می شوند و چنانچه خسارتی وارد نشده باشد برابر قانون رسیدگی به تخلفات اداری مصوب ۱۳۷۲/۰۹/۰۷ با مستنکف رفتار خواهد شد.

ماده۱۳ـ سازمان بر حسن اجرای این نظام ، نظارت کرده و اجرای آن را سالانه به کمیته ی دائمی گزارش کند.

ماده۱۴ـ این تصویب نامه در چهارده ماده و نه تبصره در هفتاد وهفتمین جلسه کمیته ی دائمی به تاریخ بیست و هشتم شهریورماه سال یکهزار و چهارصد و دو هجری شمسی به تصویب رسید.

نظـام فنـی و تخصصـی حفـاظت از زیرسـاخت های کشـور مشتمل بر چهارده ماده و نه تبصره که در تاریخ ۱۴۰۲/۰۶/۲۸ در هفتاد وهفتمین جلسه کارگروه (کمیته) دائمی پدافند غیرعامل کشور به تصویب رسید، به استناد تبصره۱ قانون تشکیل سازمان پدافند غیرعامل کشور و ماده۸ اساسنامه سازمان پدافند غیرعامل کشور مصوّب مقام معظّم رهبری(مدظله العالی) جهت اجرا ابلاغ می گردد.

رئیس ستاد کل نیروهای مسلح و کارگروه (کمیته) دائمی پدافند غیرعامل کشور

سرلشکر پاسدار محمٌد باقری

[۱] تعاریف تخصصی مرتبط با الزامات این نظام برگرفته از اسناد علمی است که برخی از آنها در پیوست های تخصصی ارائه شده است.

۲ Critical Infrastructure Protection (CIP)

۳ Technical System of Critical Infrastructure Protection (TSOCIP)

۴ Immunization

۵ Classification

۶ Ranking

۷ Criticality

۸ Infrastructure

۹ Sector

۱ ۰ Sub-Sector (System)

۱ ۱ Sub-System

۱ ۲ Asset

۱ ۳ Dependency

۱ ۴ Interdependency

۱ ۵ Degree of dependency

۱ ۶ Centrality

۱ ۷ Node

۱ ۸ Degree centrality

۱ ۹ Betweenness centrality

۲ ۰ Closeness centrality

۲ ۱ Mesh network

۲ ۲ Full Mesh

۲ ۳ Partial Mesh

۲ ۴ Hub

۲ ۵ Clustering

۱ Resiliency

۲ Domino effect

۳ Cascading effect

۴ Systematical effect

۵ Hazard

۶ Danger

۷ Risk

۸ Likert Spectrum

۹ Vulnerability

۱ ۰ Insider threat

۱ Sector Specific Plan (SSP)

۱ As Low As Reasonably Practicable (ALARP)

۱ Incident Command System (ICS)

۲ Process Safety Management (PSM)

[۴۰] این عبارات معادل درجه های مختلف مصون سازی و متناسب با سطح پایداری مورد انتظار از آن در مراکز زیرساختی می باشد.

[۴۱] میزان حداقل آسیب پذیری مبتنی بر اصل هزینه ـ فایده استخراج می شود.

منبع: edmanlaw.ir

دفتر وکالت مهدی نوری (وکیل پایه یک دادگستری و مشاور حقوقی)

شماره تماس: 09127184919 – 86072210 – 86072235