Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.
Data publikacji: 20-02-2020 | Autor: | Tomasz Cygan |
Z dniem 6 stycznia 2020 r. weszło w życie rozporządzenie Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych, odpowiedzialnych za cyberbezpieczeństwo (DzU z 2019 r., poz. 2479).
Wspomniane powyżej nowe rozporządzenie Ministra Cyfryzacji zastąpiło rozporządzenie z dnia 10 września 2018 r. (DzU z 2018 r., poz. 1780), a zmiana jest efektem uwag związanych z realizacją wymagań uchylonego przepisu. Określone m.in. zostały na nowo warunki, które muszą spełniać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo. Zgodnie z treścią § 5 nowego rozporządzenia podmioty świadczące usługi z zakresu cyberbezpieczeństwo oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwa dostosują pomieszczenia lub zespoły pomieszczeń do wymogów określonych w przepisach niniejszego rozporządzenia w terminie sześciu miesięcy od dnia wejścia w życie rozporządzenia.
> WARUNKI ORGANIZACYJNE
Zgodnie z § 1 ust. 1 nowego rozporządzenia wewnętrzna struktura organizacyjna operatora usługi kluczowej odpowiedzialna za cyberbezpieczeństwo jest obowiązana spełnić następujące warunki organizacyjne:
a) identyfikowania zagrożeń w odniesieniu do systemów informacyjnych operatora usługi kluczowej oraz proponowania rozwiązań ograniczających ryzyko wynikające z tych zagrożeń,
b) analizowania oprogramowania szkodliwego i określania jego wpływu na system informacyjny operatora usługi kluczowej,
c) wykrywania przełamania lub ominięcia zabezpieczeń systemu informacyjnego operatora usługi kluczowej, prowadzenia analizy powłamaniowej wraz z określeniem działań niezbędnych do przywrócenia sprawności systemu informacyjnego operatora usługi kluczowej,
d) zabezpieczania informacji potrzebnych do analizy powłamaniowej, pozwalających na określenie wpływu incydentu poważnego na świadczenie usługi kluczowej, w tym informacji dotyczących:
– rodzajów usług kluczowych, na które incydent miał wpływ,
– liczby użytkowników usługi kluczowej, na których incydent miał wpływ,
– momentu wystąpienia i wykrycia incydentu oraz czasu jego trwania,
– zasięgu geograficznego obszaru, którego dotyczy incydent poważny,
– wpływu incydentu na świadczenie usługi kluczowej przez innych operatorów usług kluczowych i dostawców usług cyfrowych,
– przyczyny zaistnienia incydentu i sposobu jego przebiegu oraz skutków jego oddziaływania na systemy informacyjne lub świadczone usługi kluczowe na potrzeby postępowań prowadzonych przez organy ścigania;
a) rodzaje informacji przetwarzanych w systemach teleinformatycznych,
b) otoczenie i konstrukcję budynków, w których będą świadczone usługi z zakresu cyberbezpieczeństwa,
c) liczbę osób mających lub mogących mieć dostęp do pomieszczenia lub zespołu pomieszczeń, a także posiadane przez nie uprawnienia oraz uzasadnioną potrzebę dostępu do pomieszczenia lub zespołu pomieszczeń,
d) szacowane zagrożenie sabotażem, zamachem terrorystycznym, kradzieżą lub inną działalnością przestępczą.
> NAJWAŻNIEJSZE ZMIANY
W porównaniu z poprzednim rozporządzeniem rozszerzeniu uległy przede wszystkim zapisy dotyczące umiejętności personelu, w szczególności poprzez dodanie wymogu posiadania umiejętności:
Zmianie uległ także zapis dotyczący działań zabezpieczających. W poprzednim stanie prawnym wymagana była umiejętność zabezpieczania śladów kryminalistycznych na potrzeby postępowań prowadzonych przez organy ścigania. Nowe rozporządzenie wymaga z kolei od personelu posiadania umiejętności w zakresie zabezpieczania informacji potrzebnych do analizy powłamaniowej, pozwalających na określenie wpływu incydentu poważnego na świadczenie usługi kluczowej, bardzo szczegółowo wymieniając, jakie informacje powinny podlegać zabezpieczeniu.
Ważną zmianą jest także wskazanie wprost wśród obowiązków organizacyjnych dysponowania prawem do wyłącznego korzystania z pomieszczenia lub zespołu pomieszczeń – w przypadku realizacji obowiązków, o których mowa w art. 8 pkt 4 i 6, art. 11 ust. 1 pkt 1–5, art. 12 i art. 13 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, a także przeprowadzenia analizy ryzyka mającej na celu dobór adekwatnych środków bezpieczeństwa fizycznego i technicznego pomieszczenia lub zespołu pomieszczeń, w których świadczone są usługi z zakresu cyberbezpieczeństwa, w której uwzględnia się wszystkie istotne czynniki mogące mieć wpływ na bezpieczeństwo (z jednoczesnym wyliczeniem przykładowych, acz wydaje się, że także najistotniejszych czynników).
Spośród innych zmian należy również zwrócić uwagę na:
[...]
Autor jest adwokatem, doświadczonym konsultantem i wykładowcą, autorem publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautorem bloga poświęconego ochronie danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12.
Artykuł pochodzi z miesięcznika: IT Professional
Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.
Transmisje online zapewnia: StreamOnline