Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


10.06.2019

Inteligentne zarządzanie...

W dniach 11, 12 i 13 czerwca – odpowiednio – w Gdańsku, w Warszawie i w Katowicach,...
27.05.2019

Rozwiązania na platformie GCP

Citrix SD-WAN i Citrix ADC
27.05.2019

Chmura hybrydowa

Dell Technologies Cloud
27.05.2019

Uproszczona komunikacja

Cisco Webex
24.05.2019

Konferencja IT Manager of...

W dniach 12–14 czerwca w Sopocie odbędzie się konferencja IT Manager of Tomorrow 2019. To...
24.05.2019

Ochrona sieci

Fortinet FortiOS 6.2
24.05.2019

Mniejsza złożoność

Rittal VX25 Ri4Power
24.05.2019

All-in-one NAS

QNAP TDS-16489U R2
24.05.2019

Układy SoC

AMD Ryzen Embedded R1000

Zasoby ludzkie a cyberbezpieczeństwo

Data publikacji: 23-05-2019 Autor: Tomasz Cygan

Sprowadzenie zagadnień cyberbezpieczeństwa wyłącznie do zabezpieczeń technicznych i informatycznych to zdecydowanie za mało. Ubiegłoroczne regulacje w postaci ustawy o krajowym systemie cyberbezpieczeństwa oraz rozporządzenia Ministra Cyfryzacji dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa wskazują na dużą rolę czynnika ludzkiego w krajowym systemie cyberbezpieczeństwa.

 

W spomniana ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (DzU z 2018 r., poz. 1560), zwana w dalszej części artykułu ustawą, oraz rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (DzU z 2018 r., poz. 1780), zwane w dalszej części rozporządzeniem, wyraźnie podkreślają rolę zasobów ludzkich.

> RODZAJE PODMIOTÓW I ICH OBOWIĄZKI

W zależności od rodzaju podmiotu – operator usług kluczowych, dostawca usług cyfrowych, podmiot publiczny – przepisy inaczej kształtują status prawny oraz obowiązki osób wchodzących w skład systemu cyberbezpieczeństwa.

W przypadku operatorów usług kluczowych niezbędne jest:
 

  • wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa,
  • powołanie wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo lub
  • zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.


W przypadku dostawców usług kluczowych niezbędne jest:
 

  • wyznaczenie przedstawiciela posiadającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej przez dostawcę usługi cyfrowej, który nie posiada jednostki organizacyjnej w jednym z państw członkowskich Unii Europejskiej, ale oferuje usługi cyfrowe w Rzeczypospolitej Polskiej, o ile nie wyznaczył przedstawiciela posiadającego jednostkę organizacyjną w innym państwie członkowskim Unii Europejskiej,
  • podanie w zgłoszeniu incydentu istotnego kierowanym do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV imienia i nazwiska, numeru telefonu oraz adresu poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji (oprócz analogicznych danych osoby składającej zgłoszenie),
  • zapewnianie obsługi incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV przez przekazanie niezbędnych danych, w tym danych osobowych. Mimo że w tym przypadku przepis nie określa wprost udziału czynnika ludzkiego, można to wywnioskować z jego brzmienia – zgodnie z treścią art. 2 punkt 10 ustawy obsługa incydentu to czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu.


W przypadku podmiotu publicznego realizującego zadanie publiczne zależne od systemu informacyjnego niezbędne jest:

 

  • wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa,
  • podanie w zgłoszeniu incydentu istotnego, kierowanym do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, imienia i nazwiska, numeru telefonu oraz adresu poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji (oprócz analogicznych danych osoby składającej zgłoszenie),
  • zapewnianie obsługi incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, poprzez przekazanie niezbędnych danych, w tym danych osobowych. Choć w tym przypadku przepis również nie stanowi o udziale czynnika ludzkiego, wynika to z treści wspomnianego powyżej art. 2 punktu 10 ustawy (obsługa incydentu to czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu).


> BUDOWA LUB OUTSOURCING STRUKTURY BEZPIECZEŃSTWA IT

Z zestawienia powyższych obowiązków widać, że jedynie w przypadku operatorów usług kluczowych pojawia się obowiązek stworzenia lub outsourcingu struktury odpowiedzialnej za cyberbezpieczeństwo. Zgodnie z treścią art. 14 ustawy operator usługi kluczowej jest zobowiązany do powołania wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo lub zawarcia umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.

W przypadku wybrania pierwszego rozwiązania – wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo – samo brzmienie przepisu prowadzi do wniosku, że powierzenie pracownikowi IT obowiązków z zakresu cyberbezpieczeństwa, np. dopisanie ich do zakresu obowiązków, nie jest wystarczające. Konieczne jest „powołanie struktury”, czyli hierarchicznej, uporządkowanej i zorganizowanej konstrukcji osobowej mającej zapewnić niezakłócone świadczenie usług kluczowych przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów. W drugim przypadku operator usługi kluczowej musi zawrzeć umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa, co również prowadzi do wniosku, że za sprawy cyberbezpieczeństwa będzie odpowiedzialny profesjonalny przedsiębiorca. Szczegółowe wytyczne w zakresie jego kompetencji określa § 1 rozporządzenia.

 

[...]

 

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12. 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"