Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.11.2019

Baza cyberzagrożeń otwarta

Kaspersky Threat Intelligence Portal
26.11.2019

Kopia zapasowa w chmurze

Veeam Backup dla Office’a i Azure
26.11.2019

Automatyzacja jako usługa

QNAP Qmiix
25.11.2019

Jeszcze szybciej

Trzeci generacja Ryzen Threadripper
25.11.2019

Wirtualizacja na...

QNAP QGD-1600P
25.11.2019

Laserowy projektor

Optoma UHZ65UST
25.10.2019

Skalowalna infrastruktura

Red Hat OpenStack Platform 15
25.10.2019

Cienki klient 2.0

Windows Virtual Desktop
25.10.2019

Nowy sprzęt Microsoftu

Rodzina Surface się powiększa

Zabezpieczenia techniczne i organizacyjne

Data publikacji: 04-07-2019 Autor: Tomasz Cygan

Uznanie za operatora usługi kluczowej nakłada na podmiot obowiązki określone w rozdziale 3 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (DzU z 2018 r., poz. 1560), zwanej w dalszej części ustawą. Jednym z nich jest posiadanie ustrukturyzowanych, wyspecjalizowanych zasobów osobowych zapewniających realizację zadań ustawowych.

 

W  celu realizacji wspomnianych zadań, zgodnie z treścią art. 14 ustawy, operator usługi kluczowej jest zobowiązany do powołania wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo lub zawarcia umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa. Innymi słowy, operator usługi kluczowej zadania z zakresu cyberbezpieczeństwa realizuje za pomocą wewnętrznej struktury odpowiedzialnej za bezpieczeństwo IT. Jednocześnie należy zauważyć, że definicja cyberbezpieczeństwa zawarta w art. 2 pkt 4 ustawy określa atrybuty, które powinny zostać osiągnięte w celu zapewnienia cyberbezpieczeństwa: odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. W związku z tym można uznać, że obowiązkiem operatora usług kluczowych realizowanym za pomocą wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo jest zapewnienie poufności, integralności, dostępności i autentyczności przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.

> ZAKRES ZADAŃ WEWNĘTRZNEJ STRUKTURY

Krajowy system cyberbezpieczeństwa obejmuje w pierwszej kolejności operatorów usług kluczowych. Są nimi podmioty, które spełniają warunki:
 

  •  świadczą usługę kluczową;
  • świadczenie tej usługi zależy od systemów informacyjnych;
  • incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora;


oraz wobec których organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu podmiotu za operatora usługi kluczowej.

W zakresie zadań wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo mieszczą się:

 

  • Wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniającego:


1) prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
2) wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:

a) utrzymanie i bezpieczną eksploatację systemu informacyjnego,
b) bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
c) bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,
d) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji,
e) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym;

3) zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
4) zarządzanie incydentami;
5) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:

a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,
b) dbałość o aktualizację oprogramowania,
c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa;

6) stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.
 

  • Zapewnienie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.
  • Zapewnienie użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej.
  •  Przekazanie organowi właściwemu do spraw cyberbezpieczeństwa informacji określających, w których państwach członkowskich Unii Europejskiej podmiot został uznany za operatora usługi kluczowej, oraz daty zakończenia świadczenia usługi kluczowej nie później niż w terminie 3 miesięcy od zmiany tych danych.
  • Opracowanie, stosowanie i aktualizacja dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
  • Sprawowanie nadzoru nad dokumentacją dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zapewniającego:


1) dostępność dokumentów wyłącznie dla osób upoważnionych zgodnie z realizowanymi przez nie zadaniami;
2) ochronę dokumentów przed niewłaściwym użyciem lub utratą integralności;
3) oznaczanie kolejnych wersji dokumentów umożliwiające określenie zmian dokonanych w tych dokumentach;
 

  • Przechowywanie dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej przez co najmniej 2 lata od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi kluczowej z uwzględnieniem przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (DzU z 2018 r., poz. 217, 357, 398 i 650).
  • Obsługa incydentu.
  • Zapewnienie dostępu do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań.
  • Klasyfikowanie incydentu jako poważnego na podstawie progów uznawania incydentu za poważny.
  • Zgłaszanie incydentu poważnego niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV.
  • Współdziałanie podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV i przekazywanie danych, w tym osobowych.
  • Usuwanie podatności, które doprowadziły lub mogłyby doprowadzić do incydentu poważnego, incydentu istotnego lub krytycznego, oraz informowanie o ich usunięciu organu właściwego do spraw cyberbezpieczeństwa.
  • Współpraca z sektorowym zespołem cyberbezpieczeństwa w przypadku jego ustanowienia.
  • Dokonywanie zgłoszeń incydentów poważnych do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV.
  • Przekazywanie informacji do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV.


> PODSTAWA PRAWNA

Pierwszy z obowiązków wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo został określony w art. 8 ustawy. Polega on na wdrożeniu systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej. Zgodnie z treścią art. 2 pkt 14 system informacyjny oznacza system teleinformatyczny rozumiany jako zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania zapewniający przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych przez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci telekomunikacyjnego urządzenia końcowego w rozumieniu przepisów ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (DzU z 2018 r., poz. 1954, 2245 i 2354), art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (DzU z 2017 r., poz. 570 oraz z 2018 r., poz. 1000 i 1544), wraz z przetwarzanymi w nim danymi w postaci elektronicznej. Co istotne, elementem tak rozumianego systemu informacyjnego są dane przetwarzane w postaci elektronicznej. Z kolei usługa kluczowa (art. 2 pkt 16 ustawy) to usługa, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienionej w wykazie usług kluczowych zawartym w rozporządzeniu Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (DzU z 2018 r., poz. 1806). W oparciu o powyższe wskazać należy, że wdrożenie systemu zarządzania bezpieczeństwem nie musi objąć wszystkich obszarów działalności operatora usługi kluczowej ani wszystkich systemów informacyjnych przez niego eksploatowanych, a wyłącznie te, które są wykorzystywane do świadczenia usługi kluczowej.

 

[...]

 

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12. 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"