Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



20.07.2020

Baramundi

Pomoc w czasie pandemii.
20.07.2020

Stop infekcjom

CloudGuard
17.07.2020

Analiza zagrożeń

Kaspersky Threat Attribution Engine
17.07.2020

Strażnik danych

QGD-1602P
16.07.2020

Dysk przemysłowy

Transcend MTE352T
16.07.2020

Połączenie sił

Fugaku
16.07.2020

Brama bezpieczeństwa

Check Point 1570R
23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay

Pomieszczenia oraz warunki techniczne

Data publikacji: 15-06-2020 Autor: Tomasz Cygan

Rozporządzenie Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (DzU z 2019 r., poz. 2479) zmieniło obowiązki operatorów dotyczące pomieszczeń oraz warunków technicznych.

 

Jak stanowi art. 14 ust. 2 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo, powołane przez operatora usługi kluczowej są obowiązane między innymi dysponować pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi, a także stosować zabezpieczenia w celu zapewnienia poufności, integralności, dostępności i autentyczności przetwarzanych informacji, z uwzględnieniem bezpieczeństwa osobowego, eksploatacji i architektury systemów. Zapewnienie należytych pomieszczeń jest obowiązkiem operatora usługi kluczowej w przypadku powołania wewnętrznej struktury. Skoro struktura ma charakter wewnętrzny, to wszelkie elementy niezbędne do jej funkcjonowania powinien zapewnić operator usługi kluczowej. Inaczej sytuacja wygląda w przypadku podmiotów świadczących usługi z zakresu cyberbezpieczeństwa, które obowiązki w zakresie pomieszczeń oraz stosowanych zabezpieczeń muszą spełnić same.
 
Biorąc pod uwagę równoważność wyboru pomiędzy wewnętrzną strukturą oraz podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa, pojawia się pole do rozważań identycznych jak w przypadku serwerowni: budować własną czy kolokować dane i usługi. Operator usługi kluczowej staje więc przed wyborem, czy spełniać samodzielnie warunki lokalowe wymagane przez prawo, czy przerzucić ciężar ich spełnienia na podmiot trzeci, określając szczegóły w tym zakresie w umowie z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.
 
> WEWNĘTRZNA STRUKTURA ORGANIZACYJNA – OBOWIĄZKI
 
Orientacja na tworzenie własnej wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo nakłada na operatora usługi kluczowej konieczność realizacji obowiązków określonych w rozporządzeniu Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.
 
Warto zauważyć, że nie wszystkie obowiązki realizowane przez wewnętrzną strukturę organizacyjną odpowiedzialną za cyberbezpieczeństwo muszą być wykonywane w specjalnych pomieszczeniach. Tylko obowiązki wskazane wprost w przepisach prawa muszą być w nich realizowane. Jak stanowi § 2 ust. 2 rozporządzenia, opisane w nim zabezpieczenia pomieszczenia lub zespołu pomieszczeń adekwatne do przeprowadzonego szacowania ryzyka dotyczą tylko realizacji obowiązków takich jak:
 
  • zarządzanie incydentami w ramach wdrożonego systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej (art. 8 pkt 4 ustawy);
  • stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa w ramach wdrożonego systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej (art. 8 pkt 6 ustawy);
  • zapewnianie obsługi incydentu (art. 11 ust. 1 pkt 1 ustawy);
  • zapewnianie dostępu do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań (art. 11 ust. 1 pkt 2 ustawy);
  • klasyfikowanie incydentu jako poważnego na podstawie progów uznawania incydentu za poważny (art. 11 ust. 1 pkt 3 ustawy);
  • zgłaszanie incydentu jako poważnego do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV (art. 11 ust. 1 pkt 4 ustawy, art. 12 ustawy);
  • współdziałanie podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe (art. 11 ust. 1 pkt 5 ustawy);
  • przekazywanie do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV informacji:
 
  1. o innych incydentach,
  2. o zagrożeniach cyberbezpieczeństwa,
  3. dotyczących szacowania ryzyka,
  4. o podatnościach,
  5. o wykorzystywanych technologiach (art. 13 ustawy).
 

 

W tych przypadkach rozporządzenie wymaga, aby obowiązki wewnętrznej struktury organizacyjnej odpowiedzialnej za cyberbezpieczeństwo były realizowane w pomieszczeniach lub zespołach pomieszczeń zabezpieczonych w sposób adekwatny do przeprowadzonego szacowania ryzyka. Oznacza to, że stosowane zabezpieczenia pomieszczeń lub ich zespołów powinny zostać wplecione we wszystkie procedury dotyczące szacowania ryzyka, a także, w dłuższej perspektywie, pomieszczenie lub ich zespoły będą podlegały zmianom w zakresie zabezpieczeń. Co istotne, wszelkie działania w tym zakresie powinien realizować operator usługi kluczowej i muszą one być dokumentowane, w sposób określony w systemie zarządzania bezpieczeństwem.
 
[...]
 
Autor jest adwokatem, doświadczonym konsultantem i wykładowcą, autorem publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautorem bloga poświęconego ochronie danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"