Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



08.07.2019

Narzędzie EDR

ESET Enterprise Inspector
08.07.2019

Usuwanie skutków awarii

Veeam Availability Orchestrator v2
08.07.2019

Indywidualna konfiguracja

baramundi Management Suite 2019
05.07.2019

Technologia Ceph

SUSE Enterprise Storage 6
05.07.2019

Szybkie i bezpieczne...

Konica Minolta bizhub i-Series
05.07.2019

Edge computing

Atos BullSequana Edge
04.07.2019

Terabitowa ochrona

Check Point 16000 i 26000
04.07.2019

Obsługa wideokonferencji

Poly G7500
04.07.2019

Laptop biznesowy

Fujitsu LIFEBOOK U939X

Zabezpieczenia techniczne i organizacyjne

Data publikacji: 04-07-2019 Autor: Tomasz Cygan

Uznanie za operatora usługi kluczowej nakłada na podmiot obowiązki określone w rozdziale 3 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (DzU z 2018 r., poz. 1560), zwanej w dalszej części ustawą. Jednym z nich jest posiadanie ustrukturyzowanych, wyspecjalizowanych zasobów osobowych zapewniających realizację zadań ustawowych.

 

W  celu realizacji wspomnianych zadań, zgodnie z treścią art. 14 ustawy, operator usługi kluczowej jest zobowiązany do powołania wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo lub zawarcia umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa. Innymi słowy, operator usługi kluczowej zadania z zakresu cyberbezpieczeństwa realizuje za pomocą wewnętrznej struktury odpowiedzialnej za bezpieczeństwo IT. Jednocześnie należy zauważyć, że definicja cyberbezpieczeństwa zawarta w art. 2 pkt 4 ustawy określa atrybuty, które powinny zostać osiągnięte w celu zapewnienia cyberbezpieczeństwa: odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. W związku z tym można uznać, że obowiązkiem operatora usług kluczowych realizowanym za pomocą wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo jest zapewnienie poufności, integralności, dostępności i autentyczności przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.

> ZAKRES ZADAŃ WEWNĘTRZNEJ STRUKTURY

Krajowy system cyberbezpieczeństwa obejmuje w pierwszej kolejności operatorów usług kluczowych. Są nimi podmioty, które spełniają warunki:
 

  •  świadczą usługę kluczową;
  • świadczenie tej usługi zależy od systemów informacyjnych;
  • incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora;


oraz wobec których organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu podmiotu za operatora usługi kluczowej.

W zakresie zadań wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo mieszczą się:

 

  • Wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniającego:


1) prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
2) wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:

a) utrzymanie i bezpieczną eksploatację systemu informacyjnego,
b) bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
c) bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,
d) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji,
e) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym;

3) zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
4) zarządzanie incydentami;
5) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:

a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,
b) dbałość o aktualizację oprogramowania,
c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa;

6) stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.
 

  • Zapewnienie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.
  • Zapewnienie użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej.
  •  Przekazanie organowi właściwemu do spraw cyberbezpieczeństwa informacji określających, w których państwach członkowskich Unii Europejskiej podmiot został uznany za operatora usługi kluczowej, oraz daty zakończenia świadczenia usługi kluczowej nie później niż w terminie 3 miesięcy od zmiany tych danych.
  • Opracowanie, stosowanie i aktualizacja dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
  • Sprawowanie nadzoru nad dokumentacją dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zapewniającego:


1) dostępność dokumentów wyłącznie dla osób upoważnionych zgodnie z realizowanymi przez nie zadaniami;
2) ochronę dokumentów przed niewłaściwym użyciem lub utratą integralności;
3) oznaczanie kolejnych wersji dokumentów umożliwiające określenie zmian dokonanych w tych dokumentach;
 

  • Przechowywanie dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej przez co najmniej 2 lata od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi kluczowej z uwzględnieniem przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (DzU z 2018 r., poz. 217, 357, 398 i 650).
  • Obsługa incydentu.
  • Zapewnienie dostępu do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań.
  • Klasyfikowanie incydentu jako poważnego na podstawie progów uznawania incydentu za poważny.
  • Zgłaszanie incydentu poważnego niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV.
  • Współdziałanie podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV i przekazywanie danych, w tym osobowych.
  • Usuwanie podatności, które doprowadziły lub mogłyby doprowadzić do incydentu poważnego, incydentu istotnego lub krytycznego, oraz informowanie o ich usunięciu organu właściwego do spraw cyberbezpieczeństwa.
  • Współpraca z sektorowym zespołem cyberbezpieczeństwa w przypadku jego ustanowienia.
  • Dokonywanie zgłoszeń incydentów poważnych do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV.
  • Przekazywanie informacji do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV.


> PODSTAWA PRAWNA

Pierwszy z obowiązków wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo został określony w art. 8 ustawy. Polega on na wdrożeniu systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej. Zgodnie z treścią art. 2 pkt 14 system informacyjny oznacza system teleinformatyczny rozumiany jako zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania zapewniający przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych przez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci telekomunikacyjnego urządzenia końcowego w rozumieniu przepisów ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (DzU z 2018 r., poz. 1954, 2245 i 2354), art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (DzU z 2017 r., poz. 570 oraz z 2018 r., poz. 1000 i 1544), wraz z przetwarzanymi w nim danymi w postaci elektronicznej. Co istotne, elementem tak rozumianego systemu informacyjnego są dane przetwarzane w postaci elektronicznej. Z kolei usługa kluczowa (art. 2 pkt 16 ustawy) to usługa, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienionej w wykazie usług kluczowych zawartym w rozporządzeniu Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (DzU z 2018 r., poz. 1806). W oparciu o powyższe wskazać należy, że wdrożenie systemu zarządzania bezpieczeństwem nie musi objąć wszystkich obszarów działalności operatora usługi kluczowej ani wszystkich systemów informacyjnych przez niego eksploatowanych, a wyłącznie te, które są wykorzystywane do świadczenia usługi kluczowej.

 

[...]

 

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"