Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Struktury organizacyjne operatorów usług kluczowych

Data publikacji: 26-03-2020 Autor: Tomasz Cygan

Z początkiem 2020 roku zmieniły się przepisy dotyczące warunków organizacyjnych i technicznych dla wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo. Rozszerzyły one i przedefiniowały m.in. dotychczasowy zakres umiejętności wymaganych od personelu w tego typu strukturach.

 

W życie weszło rozporządzenie Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych, odpowiedzialnych za cyberbezpieczeństwo (DzU z 2019 r., poz. 2479). W rozporządzeniu prawodawca niektóre obowiązki nakazuje realizować personelowi, który w określonych obszarach musi posiadać szczególne umiejętności – dlatego warto przeanalizować wytyczne, aby poznać listę wspomnianych umiejętności oraz dowiedzieć się, w jaki sposób dokumentować ich posiadanie. Nie oznacza to, że inne obowiązki wewnętrznej struktury organizacyjnej operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo może realizować każdy. Z uwagi na konieczność zapewnienia ochrony i status usług kluczowych oraz funkcje ich operatorów specjalistyczne umiejętności są konieczne, jednak nie zawsze ich posiadanie przez personel jest obowiązkiem prawnym wymagającym udokumentowania.


> WPROWADZONE ZMIANY


W uzasadnieniu projektu rozporządzenia z dnia 7 czerwca 2019 r. znaleźć można jedynie dwie informacje dla uzasadnienia wprowadzenia zmian w tym zakresie: wyartykułowaną na spotkaniach roboczych potrzebę rozbicia obowiązków typu „czynności z zakresu informatyki śledczej” na poszczególne obowiązki oraz informację, że „Projektowany § 1 wskazuje warunki organizacyjne, jakie musi spełniać podmiot świadczący usługi z zakresu cyberbezpieczeństwa oraz wewnętrzna struktura organizacyjna operatora usługi kluczowej”.


Do ciekawych wniosków prowadzi jednak analiza zmian w przepisach rozporządzenia, zwłaszcza w zestawieniu z przepisami ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (DzU z 2018 r., poz. 1560), a także brakiem jakichkolwiek wskazówek prawodawcy dotyczących sposobu dokumentowania posiadania określonych umiejętności przez personel wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.


Rozpocząć jednak należy od wskazania, że wewnętrzne struktury organizacyjne odpowiedzialne za bezpieczeństwo cybernetyczne powołuje się w celu realizacji określonych zadań wskazanych w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (DzU z 2018 r., poz. 1560). Ich zakres jest tożsamy z zakresem zadań realizowanych przez operatora usługi kluczowej w celu zapewnienia cyberbezpieczeństwa. Pozwala to na przyjęcie, że każdy operator usługi kluczowej musi posługiwać się specjalistami. Może to przyjąć postać umowy z podmiotem zewnętrznym albo ustanowienia wewnętrznej struktury organizacyjnej. W tym zakresie wybór należy wyłącznie do operatora usługi kluczowej.


> REALIZOWANE ZADANIA


Zgodnie z art. 14 wspomnianej ustawy wewnętrzną strukturę organizacyjną odpowiedzialną za cyberbezpieczeństwo powołuje się w celu realizacji następujących zadań:•Zgodnie z art. 8 ustawy wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniającego:


1) prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
2) wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:


a) utrzymanie i bezpieczną eksploatację systemu informacyjnego,
b) bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
c) bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,
d) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji,
e) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym;

 

3) zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
4) zarządzanie incydentami;
5) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:

 

a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,
b) dbałość o aktualizację oprogramowania,
c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa;

 

6) stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.

 

  • Zgodnie z art. 9 ustawy:

1) wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa;
2) zapewnienia użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej;
3) przekazania organowi właściwemu do spraw cyberbezpieczeństwa danych, o których mowa w art. 7 ust. 2 pkt 8 i 9 ustawy, nie później niż w terminie 3 miesięcy od zmiany tych danych.

 

  • Zgodnie z art. 10 ust. 1–3 ustawy opracowania, stosowania i aktualizowania dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, a także sprawowania nadzoru nad dokumentacją dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zapewniającego:

 

1) dostępność dokumentów wyłącznie dla osób upoważnionych zgodnie z realizowanymi przez nie zadaniami;
2) ochronę dokumentów przed niewłaściwym użyciem lub utratą integralności;
3) oznaczanie kolejnych wersji dokumentów umożliwiające określenie zmian dokonanych w tych dokumentach;
4) przechowywanie dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej przez co najmniej 2 lata od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi kluczowej, z uwzględnieniem przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (DzU z 2018 r., poz. 217, 357, 398 i 650).

 

  • Zgodnie z art. 11 ust. 1–3 ustawy:

 

1) zapewnienia obsługi incydentu;
2) zapewnienia dostępu do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;
3) klasyfikowania incydentu jako poważnego na podstawie progów uznawania incydentu za poważny określonych w rozporządzeniu Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny (DzU z 2018 r., poz. 2180).

 

  • Zgodnie z art. 12 ustawy dokonywania zgłoszeń incydentu poważnego niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV.

 

  • Zgodnie z art. 13 ustawy przekazywania do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV informacji:


1) o innych incydentach;
2) o zagrożeniach cyberbezpieczeństwa;
3) dotyczących szacowania ryzyka;
4) o podatnościach;
5) o wykorzystywanych technologiach.

 

[...]

 

Autor jest adwokatem, doświadczonym konsultantem i wykładowcą, autorem publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautorem bloga poświęconego ochronie danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12.
 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"