Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



25.02.2020

Koszty w górę

Zmiany w licencjach VMware
24.02.2020

VPN na nowo

WireGuard w Linuksie
24.02.2020

Wydajność pod kontrolą

Citrix Analytics for Performance
24.02.2020

Zaawansowany backup

Veeam Availability Suite v10
20.02.2020

Serwery Enterprise

OVHCloud stawia na Ryzeny
20.02.2020

Monitory dla biznesu

Newline IP
20.02.2020

Przemysłowe SSD

Dyski Transcend M.2 NVMe
23.01.2020

Google Project Zero

Inicjatywa Google Project Zero
23.01.2020

Ochrona tylko w chmurze

Kaspersky Security Cloud Free

Zasoby ludzkie a cyberbezpieczeństwo

Data publikacji: 23-05-2019 Autor: Tomasz Cygan

Sprowadzenie zagadnień cyberbezpieczeństwa wyłącznie do zabezpieczeń technicznych i informatycznych to zdecydowanie za mało. Ubiegłoroczne regulacje w postaci ustawy o krajowym systemie cyberbezpieczeństwa oraz rozporządzenia Ministra Cyfryzacji dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa wskazują na dużą rolę czynnika ludzkiego w krajowym systemie cyberbezpieczeństwa.

 

W spomniana ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (DzU z 2018 r., poz. 1560), zwana w dalszej części artykułu ustawą, oraz rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (DzU z 2018 r., poz. 1780), zwane w dalszej części rozporządzeniem, wyraźnie podkreślają rolę zasobów ludzkich.

> RODZAJE PODMIOTÓW I ICH OBOWIĄZKI

W zależności od rodzaju podmiotu – operator usług kluczowych, dostawca usług cyfrowych, podmiot publiczny – przepisy inaczej kształtują status prawny oraz obowiązki osób wchodzących w skład systemu cyberbezpieczeństwa.

W przypadku operatorów usług kluczowych niezbędne jest:
 

  • wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa,
  • powołanie wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo lub
  • zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.


W przypadku dostawców usług kluczowych niezbędne jest:
 

  • wyznaczenie przedstawiciela posiadającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej przez dostawcę usługi cyfrowej, który nie posiada jednostki organizacyjnej w jednym z państw członkowskich Unii Europejskiej, ale oferuje usługi cyfrowe w Rzeczypospolitej Polskiej, o ile nie wyznaczył przedstawiciela posiadającego jednostkę organizacyjną w innym państwie członkowskim Unii Europejskiej,
  • podanie w zgłoszeniu incydentu istotnego kierowanym do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV imienia i nazwiska, numeru telefonu oraz adresu poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji (oprócz analogicznych danych osoby składającej zgłoszenie),
  • zapewnianie obsługi incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV przez przekazanie niezbędnych danych, w tym danych osobowych. Mimo że w tym przypadku przepis nie określa wprost udziału czynnika ludzkiego, można to wywnioskować z jego brzmienia – zgodnie z treścią art. 2 punkt 10 ustawy obsługa incydentu to czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu.


W przypadku podmiotu publicznego realizującego zadanie publiczne zależne od systemu informacyjnego niezbędne jest:

 

  • wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa,
  • podanie w zgłoszeniu incydentu istotnego, kierowanym do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, imienia i nazwiska, numeru telefonu oraz adresu poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji (oprócz analogicznych danych osoby składającej zgłoszenie),
  • zapewnianie obsługi incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, poprzez przekazanie niezbędnych danych, w tym danych osobowych. Choć w tym przypadku przepis również nie stanowi o udziale czynnika ludzkiego, wynika to z treści wspomnianego powyżej art. 2 punktu 10 ustawy (obsługa incydentu to czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu).


> BUDOWA LUB OUTSOURCING STRUKTURY BEZPIECZEŃSTWA IT

Z zestawienia powyższych obowiązków widać, że jedynie w przypadku operatorów usług kluczowych pojawia się obowiązek stworzenia lub outsourcingu struktury odpowiedzialnej za cyberbezpieczeństwo. Zgodnie z treścią art. 14 ustawy operator usługi kluczowej jest zobowiązany do powołania wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo lub zawarcia umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.

W przypadku wybrania pierwszego rozwiązania – wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo – samo brzmienie przepisu prowadzi do wniosku, że powierzenie pracownikowi IT obowiązków z zakresu cyberbezpieczeństwa, np. dopisanie ich do zakresu obowiązków, nie jest wystarczające. Konieczne jest „powołanie struktury”, czyli hierarchicznej, uporządkowanej i zorganizowanej konstrukcji osobowej mającej zapewnić niezakłócone świadczenie usług kluczowych przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów. W drugim przypadku operator usługi kluczowej musi zawrzeć umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa, co również prowadzi do wniosku, że za sprawy cyberbezpieczeństwa będzie odpowiedzialny profesjonalny przedsiębiorca. Szczegółowe wytyczne w zakresie jego kompetencji określa § 1 rozporządzenia.

 

[...]

 

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"