Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



25.09.2020

Konferencja PIKE 2020 „Nowy...

Liderzy branży telekomunikacji i mediów o nowych wyzwaniach i przyszłości branży w...
24.09.2020

Microsoft ogłosił harmonogram...

Ta chwila prędzej czy później musiała nadejść – Microsoft ogłosił harmonogram porzucania...
24.09.2020

Nowe mobilne jabłka

Premiera iOS-a 14
24.09.2020

Kompleksowa ochrona

Kaspersky 2021
24.09.2020

Kolejny zielony robot

Android 11
24.09.2020

Mobilne bezpieczeństwo

ESET Mobile Security 6.0
24.09.2020

QNAP

QNAP wprowadził na rynek serwery NAS serii TS-x32PXU przeznaczone do montażu w szafie...
24.09.2020

Wytrzymałe SSD

WD My Passport
24.09.2020

Laptopy dla biznesu

MSI Summit

Pomieszczenia oraz warunki techniczne

Data publikacji: 15-06-2020 Autor: Tomasz Cygan

Rozporządzenie Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (DzU z 2019 r., poz. 2479) zmieniło obowiązki operatorów dotyczące pomieszczeń oraz warunków technicznych.

 

Jak stanowi art. 14 ust. 2 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo, powołane przez operatora usługi kluczowej są obowiązane między innymi dysponować pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi, a także stosować zabezpieczenia w celu zapewnienia poufności, integralności, dostępności i autentyczności przetwarzanych informacji, z uwzględnieniem bezpieczeństwa osobowego, eksploatacji i architektury systemów. Zapewnienie należytych pomieszczeń jest obowiązkiem operatora usługi kluczowej w przypadku powołania wewnętrznej struktury. Skoro struktura ma charakter wewnętrzny, to wszelkie elementy niezbędne do jej funkcjonowania powinien zapewnić operator usługi kluczowej. Inaczej sytuacja wygląda w przypadku podmiotów świadczących usługi z zakresu cyberbezpieczeństwa, które obowiązki w zakresie pomieszczeń oraz stosowanych zabezpieczeń muszą spełnić same.
 
Biorąc pod uwagę równoważność wyboru pomiędzy wewnętrzną strukturą oraz podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa, pojawia się pole do rozważań identycznych jak w przypadku serwerowni: budować własną czy kolokować dane i usługi. Operator usługi kluczowej staje więc przed wyborem, czy spełniać samodzielnie warunki lokalowe wymagane przez prawo, czy przerzucić ciężar ich spełnienia na podmiot trzeci, określając szczegóły w tym zakresie w umowie z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.
 
> WEWNĘTRZNA STRUKTURA ORGANIZACYJNA – OBOWIĄZKI
 
Orientacja na tworzenie własnej wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo nakłada na operatora usługi kluczowej konieczność realizacji obowiązków określonych w rozporządzeniu Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.
 
Warto zauważyć, że nie wszystkie obowiązki realizowane przez wewnętrzną strukturę organizacyjną odpowiedzialną za cyberbezpieczeństwo muszą być wykonywane w specjalnych pomieszczeniach. Tylko obowiązki wskazane wprost w przepisach prawa muszą być w nich realizowane. Jak stanowi § 2 ust. 2 rozporządzenia, opisane w nim zabezpieczenia pomieszczenia lub zespołu pomieszczeń adekwatne do przeprowadzonego szacowania ryzyka dotyczą tylko realizacji obowiązków takich jak:
 
  • zarządzanie incydentami w ramach wdrożonego systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej (art. 8 pkt 4 ustawy);
  • stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa w ramach wdrożonego systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej (art. 8 pkt 6 ustawy);
  • zapewnianie obsługi incydentu (art. 11 ust. 1 pkt 1 ustawy);
  • zapewnianie dostępu do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań (art. 11 ust. 1 pkt 2 ustawy);
  • klasyfikowanie incydentu jako poważnego na podstawie progów uznawania incydentu za poważny (art. 11 ust. 1 pkt 3 ustawy);
  • zgłaszanie incydentu jako poważnego do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV (art. 11 ust. 1 pkt 4 ustawy, art. 12 ustawy);
  • współdziałanie podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe (art. 11 ust. 1 pkt 5 ustawy);
  • przekazywanie do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV informacji:
 
  1. o innych incydentach,
  2. o zagrożeniach cyberbezpieczeństwa,
  3. dotyczących szacowania ryzyka,
  4. o podatnościach,
  5. o wykorzystywanych technologiach (art. 13 ustawy).
 

 

W tych przypadkach rozporządzenie wymaga, aby obowiązki wewnętrznej struktury organizacyjnej odpowiedzialnej za cyberbezpieczeństwo były realizowane w pomieszczeniach lub zespołach pomieszczeń zabezpieczonych w sposób adekwatny do przeprowadzonego szacowania ryzyka. Oznacza to, że stosowane zabezpieczenia pomieszczeń lub ich zespołów powinny zostać wplecione we wszystkie procedury dotyczące szacowania ryzyka, a także, w dłuższej perspektywie, pomieszczenie lub ich zespoły będą podlegały zmianom w zakresie zabezpieczeń. Co istotne, wszelkie działania w tym zakresie powinien realizować operator usługi kluczowej i muszą one być dokumentowane, w sposób określony w systemie zarządzania bezpieczeństwem.
 
[...]
 
Autor jest adwokatem, doświadczonym konsultantem i wykładowcą, autorem publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautorem bloga poświęconego ochronie danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"