Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.31.12.2020

Cykl webinarów

weinnovators.club
30.12.2020

Integracja z Teams

Veeam Backup
30.12.2020

Namierzanie zagrożeń

Flowmon Networks i Fortinet
30.12.2020

Wsparcie dla przedsiębiorstw

VMware Cloud on AWS
29.12.2020

Nowe NAS-y Thunderbolt 3

QNAP QuTS TVS-h1288X i TVS-h1688X
29.12.2020

Modele kompaktowe

VPL-PHZ60 i VPL-PHZ50
28.12.2020

Dedykowane przemysłowi

Seria TJ
28.12.2020

Nowa generacja

Router QHora-301W

Praca zdalna a przepisy o cyberbezpieczeństwie

Data publikacji: 24-09-2020 Autor: Tomasz Cygan

Pandemia koronawirusa wywołała konieczność masowej (i często pospiesznie organizowanej) pracy zdalnej. W związku z tym pojawiły się nowe regulacje odnośnie do ustawy z 31 marca 2020 r. o zmianie procedur związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19. Regulacje mają dotyczyć też sytuacji kryzysowych wywołanych chorobami zakaźnymi.

 

Analizując § 4 rozporządzenia Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za to zagadnienie, można określić zadania oraz zakres pracy personelu delegowanego do realizacji wyznaczonych zadań. Rozporządzenie wskazuje bowiem na zdalną możliwość wykonywania czynności z zakresu zgłaszanego incydentu poważnego nie później niż w ciągu 24 godzin od momentu jego wykrycia. Zgłoszenie powinno być niezwłocznie skierowane do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV (art. 11 ust. 1 punkt 4 ustawy). Istotne jest też współdziałanie podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV oraz przekazanie niezbędnych danych, w tym danych osobowych (art. 11 ust. 1 punkt 5 ustawy). Z kolei art. 14 ustawy o krajowym systemie cyberbezpieczeństwa ogranicza konieczność powołania wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z dziedziny cyberbezpieczeństwa w zakresie realizacji zadań określonych w art. 11 ustawy wyłącznie do tych opisanych w ust. 1 w punktach 1–3 wskazanego przepisu. Oznacza to, że zgodnie z obowiązującymi przepisami personel odpowiedzialny za cyberbezpieczeństwo może wykonywać zdalnie czynności związane z realizacją obowiązków, które nie zostały mu przyznane w przepisie o randze ustawowej.


> Dopuszczalny zakres pracy zdalnej


Trwająca aktualnie pandemia umożliwia realizację zadań zawodowych w wersji online. Pracodawcy mogą zlecić pracownikom wykonywanie – przez czas oznaczony – pracy określonej w umowie o pracę poza miejscem jej stałego wykonywania. Wszystko w celu przeciwdziałania COVID-19. Mówi o tym art. 67 kp: praca może być wykonywana regularnie poza zakładem pracy, z wykorzystaniem środków komunikacji elektronicznej w rozumieniu przepisów o świadczeniu usług drogą elektroniczną (tzw. zjawisko telepracy). W związku z tym faktem wzrosła także liczba poradników, wskazówek oraz szkoleń dotyczących home office. Warto tu wspomnieć, że na początku 2020 roku weszła w życie regulacja umożliwiająca zdalny dostęp do systemu obsługującego usługi z zakresu cyberbezpieczeństwa dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych. Co istotne – właśnie jej wprowadzenie było jednym z powodów wydania rozporządzenia Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo. Jak stanowi § 4 rozporządzenia w przypadku wykonywania czynności związanych z realizacją obowiązków, o których mowa w art. 8 pkt 4 i 6, art. 11 ust. 1 pkt 1–5, art. 12 i art. 13 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, poza pomieszczeniami wyposażonymi w zabezpieczenia opisane w § 2 ust. 2, podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo zapewniają bezpieczny zdalny dostęp do systemu obsługującego usługi z zakresu cyberbezpieczeństwa. Ustalają też zasady dostępu do systemu, stosowanie środków zapewniających bezpieczne przetwarzanie informacji i komunikację oraz minimalizację przechowywanych danych poza bezpiecznym środowiskiem.


Treść § 4 rozporządzenia dopuszcza możliwość zdalnego dostępu do systemu obsługującego usługi z zakresu cyberbezpieczeństwa wyłącznie w przypadku wykonywania czynności związanych z realizacją obowiązków dotyczących: •zarządzania incydentami; stosowania środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa; •zapewniania obsługi incydentu; zapewniania dostępu do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań; klasyfikowania incydentu jako poważnego na podstawie progów uznawania incydentu za poważny; zgłaszania incydentu poważnego niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV z uwzględnieniem wymagań dotyczących zgłoszenia opisanych w art. 12 ustawy o krajowym systemie cyberbezpieczeństwa; •współdziałania podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe; •przekazywania do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV informacji o innych incydentach, jak również o zagrożeniach cyberbezpieczeństwa, tych dotyczących szacowania ryzyka, o podatności oraz o wykorzystanych technologiach.


> Wyłączenia


Z regulacji można wywnioskować także te czynności podejmowane przez personel realizujący zadania z zakresu cyberbezpieczeństwa, które zostały wyłączone z możliwości bezpiecznego zdalnego dostępu do systemu obsługującego usługi z zakresu cyberbezpieczeństwa. Są to przede wszystkim: – prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem; – wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy (w tym: utrzymanie i bezpieczna eksploatacja systemu informacyjnego, monitorowanie jej w trybie ciągłym, jak również bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu, ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej; dodatkowo wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji). Równie istotnymi czynnościami są: zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej; stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. W tym stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym, dbałość o aktualizację oprogramowania, ochrona przed nieuprawnioną modyfikacją w systemie informacyjnym, niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa; opracowanie, stosowanie i aktualizacja dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Do zadań wyznaczonego personelu należy też sprawowanie nadzoru nad dokumentacją dotyczącą cyberbezpieczeństwa systemu informacyjnego zapewniającego dostępność dokumentów wyłącznie dla osób upoważnionych zgodnie z realizowanymi przez nie zadaniami, jak również ochrona dokumentów przed niewłaściwym użyciem lub utratą integralności. Następnym krokiem w kierunku zapewnienia cyberbezpieczeństwa byłoby oznaczanie kolejnych wersji dokumentów umożliwiające określenie zmian dokonanych w tych dokumentach, jak również przechowywanie dokumentacji dotyczącej systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej przez określony czas.

 

[...]

 

Autor jest adwokatem, doświadczonym konsultantem i wykładowcą, autorem publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"