Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.05.2020

Cloud Native Universe

Jako patron medialny zapraszamy programistów wdrażających lub integrujących się z dowolną...
26.03.2020

Koniec certyfikatów...

MCSA, MCSD i MCSA
26.03.2020

Odświeżony OS

FortiOS 6.4
26.03.2020

Bezpieczeństwo w chmurze

Cisco SecureX
26.03.2020

Modernizacja IT

Nowości w VMware Tanzu
26.03.2020

Krytyczne zagrożenie dla...

Nowa groźna podatność
26.03.2020

Laptopy dla wymagających

Nowe ThinkPady T, X i L
26.03.2020

Serwerowe ARM-y

Ampere Altra
26.03.2020

Energooszczędny monitor

Philips 243B1

Umowa z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa

Data publikacji: 26-09-2019 Autor: Tomasz Cygan

Krajowy system cyberbezpieczeństwa ma na celu zapewnienie niezakłóconego świadczenia usług kluczowych i usług cyfrowych przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów i obejmuje między innymi operatorów usług kluczowych oraz dostawców usług cyfrowych.

 

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (DzU z 2018 r., poz. 1560), zwana w dalszej części ustawą, wskazuje, że operator usługi kluczowej zadania określone w ustawie realizuje środkami własnymi w postaci wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub powierza je podmiotowi świadczącemu usługi z zakresu cyberbezpieczeństwa. W takim przypadku powinna zostać zawarta umowa określająca zakres świadczonych usług, zobowiązania i oświadczenia stron oraz zapisy dotyczące odpowiedzialności, z uwzględnieniem przepisów prawa wskazujących na zawartość takiej umowy.

> OKREŚLENIE PRZEDMIOTU UMOWY

Powierzając podmiotowi zewnętrznemu realizację zadań z zakresu cyberbezpieczeństwa, należy w pierwszej kolejności szczegółowo określić przedmiot umowy. Przepisy ustawy zawierają w tym zakresie liczne wskazówki pozwalające na prawidłowe opisanie przedmiotu umowy. Skoro więc ustawodawca zezwala na zawarcie umowy w celu realizacji określonych zadań, to najprostszym i najpewniejszym rozwiązaniem jest sięgnięcie wprost do zapisów ustawy. Co istotne, ustawa nie przewiduje żadnej szczególnej formy dla takiej umowy, natomiast ze względów dowodowych wskazane jest jej zawarcie w formie pisemnej. Wymaga tego specyfika obowiązków i stopień ich wyspecjalizowania.

Na mocy art. 14 ustawy umowa z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa może zostać zawarta w celu realizacji zadań wymienionych w art. 8, art. 9, art. 10 ust. 1–3, art. 11 ust. 1–3, art. 12 i art. 13 ustawy. Obejmują one:

 

  • Zgodnie z art. 8 ustawy wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniającego:


1) prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;

2) wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:

a) utrzymanie i bezpieczną eksploatację systemu informacyjnego,

b) bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,

c) bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,

d) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji,

e) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym;

3) zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

4) zarządzanie incydentami;

5) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:

a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,

b) dbałość o aktualizację oprogramowania,

c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,

d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa;

6) stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.

 

  • Zgodnie z art. 9 ustawy:


1) wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa;

2) zapewnienie użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej;

3) przekazanie organowi właściwemu do spraw cyberbezpieczeństwa danych, o których mowa w art. 7 ust. 2 pkt 8 i 9 ustawy, nie później niż w terminie 3 miesięcy od zmiany tych danych.

 

  • Zgodnie z art. 10 ust. 1–3 ustawy opracowanie, stosowanie i aktualizowanie dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, a także sprawowanie nadzoru nad dokumentacją dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zapewniającego:


1) dostępność dokumentów wyłącznie dla osób upoważnionych zgodnie z realizowanymi przez nie zadaniami;

2) ochronę dokumentów przed niewłaściwym użyciem lub utratą integralności;

3) oznaczanie kolejnych wersji dokumentów umożliwiające określenie zmian dokonanych w tych dokumentach oraz przechowywanie dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej przez co najmniej 2 lata od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi kluczowej, z uwzględnieniem przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (DzU z 2018 r., poz. 217, 357, 398 i 650).

 

  • Zgodnie z art. 11 ust. 1–3 ustawy:


1) zapewnienie obsługi incydentu;

2) zapewnienie dostępu do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;

3) klasyfikowanie incydentu jako poważnego na podstawie progów uznawania incydentu za poważny określonych w rozporządzeniu Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny (DzU z 2018 r., poz. 2180).

 

  • Zgodnie z art. 12 ustawy dokonywanie zgłoszeń incydentu poważnego niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV.
  • Zgodnie z art. 13 ustawy przekazywanie do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV informacji:


1) o innych incydentach;

2) o zagrożeniach cyberbezpieczeństwa;

3) dotyczących szacowania ryzyka;

4) o podatnościach;

5) o wykorzystywanych technologiach.

 

[...]

 

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, inspektor ochrony danych, audytor wewnętrzny normy ISO/IEC 27001:2014-12.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"